ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1151

术语表: /attack/glossary

文件名后的空格

攻击者可以通过更改文件的扩展名来隐藏程序的真正文件类型。对于某些文件类型(特别地,对于拓展名。app 并不适用),在文件名后面追加一个空格将改变操作系统处理该文件的方式。例如,如果有一个名为 evil.bin 的 Mach-O 可执行文件,当用户双击时,它会启动 Terminal.app 并执行。如果该文件被重命名为 evil.txt。然后,当用户双击时,它将启动默认的文本编辑应用程序(不执行二进制文件)。但是,如果文件被重命名为"evil.txt "(注意文件名后的空格)。然后当用户双击时,真正的文件类型取决于操作系统,文件会被恰当处理,同时对应的二进制文件将被执行 。

攻击者可以利用这个特性欺骗用户双击任何格式的看起来友好的文件,并最终执行一些恶意的操作。

缓解

防止文件在扩展名之后包含空格。

检测

文件名末尾的空格并不常见,因此可以通过文件监视轻松地检查空格。 但是从用户的角度来看,很难从 Finder.app 或 Terminal.app 的命令行中注意到这一点。 从文件名中包含非标准扩展名的二进制文件执行的进程是可疑的。