[해킹기법] RLO(Right to Left Override) 유니코드를 이용한 확장자 변조

이 기법은 exe실행 파일을 다른 확장자인것 처럼 보이게 하여 사용자로 하여금 실행하게 만드는 해킹 기법이다. 

UNICODE는 전세계의 다양한 언어를 표현할 수 있도록 하고 있다. 대부분의 나라에선 좌측에서 우측으로(Left to Right) 글자를 쓰지만 몇몇 나라에서는 반대로 우측에서 좌측(Right to Left)으로 글자를 쓴다. 유니코드에선 이런 나라의 표현 방식까지도 사용할 수 있게 해 준다. 따라서 HEX단위로 파일을 조작 할 경우 파일 명의 일부는 Right to Left로 작정 되도록 할 수 있다. 그럼 이를 어떻게 해킹에 활용하는 것일까?

invocpwh.exe 라는 파일이 있다. 누가 봐도 명백한 실행 파일이다. 그런데 이 파일의 마지막 7글자 pwh.exe에 RLO를 적용하면 invocexe.hwp가 되어 버린다. 이 파일은 속성을 보면 실행 파일이라고 되어 있지만 겉으로 보기엔 영락없는 hwp파일처럼 보인다. 해커들은 주로 이렇게 조작된 파일들을 인터넷으로 유포하여 실행을 유도한다. 주로 피싱과 같이 활용되기도 한다.

좀더 상세한 내용) http://cleverdj.tistory.com/48