UPX로 압축된 ELF 식별 및 압축 해제 방법
RTLO(Right to Left Override)는 텍스트가 오른쪽에서 왼쪽으로 거꾸로 표시되게하는 유니코드 문자(U+202E) 입니다. 해당 문자를 이용해 사용자를 문자열 혹은 파일이름을 무해하게 보이도록 속여서 파일을 실행하도록 유도하는 것이 목적이며, 스피어 피싱 첨부파일 혹은 악성 파일에 사용됩니다.
해당 기법은 아주 오래전부터 사용되기 시작해 현재까지도 악용되고 있습니다.
최근에는 github과 같은 소스코드 배포사이트를 통해서 유포되는 형태로 이용되고 있습니다. https://asec.ahnlab.com/ko/37764/#comments
U+202E(RTLO) 실습
윈도우 문자표를 열어서 ‘고급 보기’를 체크하여 나타나는 항목에서 유니코드로 이동에 “0x202E”를 입력해줍니다. 그러면 아래와 같이 공백 형태의 문자가 보이는데, 해당 문자를 복사해주면 준비가 끝납니다.
windows charset
“testtxt.exe” 라는 실행파일이 있습니다.
testtxt.exe
해당 파일이름의 “test” 앞에 RTLO(U+202E) 문자를 삽입해주면 아래와 같이 보이게 됩니다. RTLO 문자가 삽입되는 시점부터 글자의 순서가 거꾸로 바뀌게 되며 “testtxt.exe” 파일이 “testexe.txt”로 보이게 됩니다.
testexe.txt
해당 파일을 다운로드한 사용자는 악성 실행파일을 “txt” 확장자를 가진 텍스트 파일로 착각하고 의심없이 실행할 수 있습니다.
cmd 상에서는 “exe” 확장자를 가진 파일로 정상적으로 표시되는 것을 확인할 수 있습니다.
cmd
예방 방법
의심이 가거나 불분명한 출처의 파일은 함부로 다운로드 하거나 실행하지 않습니다. 또한 파일을 실행하기 전 필수적으로 바이러스 검사를 수행한 후에 실행합니다.
){kind=link}