Caractères Unicode dans les noms de fichiers/chemins

Description: Cette technique consiste à utiliser des caractères non standards, en particulier des caractères Unicode, dans des noms de fichiers ou de répertoires. Cela peut inclure :

• Des caractères issus de différents alphabets/écritures (par exemple, cyrillique, chinois, arabe, géorgien).

• Caractères visuellement similaires (homoglyphes) qui ressemblent à des caractères ASCII standards mais sont différents (par exemple, un « а » cyrillique au lieu d’un « a » latin).

• Caractères invisibles ou de largeur nulle intégrés dans les noms de fichiers.

Mécanisme: Le contournement fonctionne en exploitant les limitations ou incohérences dans la manière dont différents outils, applications, ou même le système d’exploitation lui-même affichent, traitent ou recherchent ces caractères non standards.

• Les noms de fichiers peuvent s’afficher incorrectement ou sous forme d’espaces blancs/points d’interrogation dans certains outils ou invites de commande.

• La recherche du fichier en utilisant une saisie clavier standard devient difficile voire impossible.

• Les filtres de chaîne dans les outils d’analyse mémoire (comme System Informer) peuvent ne pas correspondre s’ils ne gèrent pas correctement l’encodage Unicode spécifique ou si la chaîne recherchée ne correspond pas exactement à la séquence Unicode.

• Des noms visuellement trompeurs peuvent tromper les ScreenSharers lors de l’inspection manuelle des dossiers.

Pourquoi les tricheurs l’utilisent : L’objectif principal est l’obscurcissement et la limitation de la détection. Elle rend les fichiers plus difficiles à trouver, identifier et analyser à l’aide de méthodes et d’outils standards, masquant efficacement les triches en pleine vue ou au sein de structures de répertoires complexes et difficiles à naviguer.

Détection:

• Recherche dans tout (Regex) : Utilisez des motifs réguliers conçus pour trouver des caractères non standards, tels que (trouve des non-ASCII) ou des motifs plus spécifiques ciblant certaines plages de caractères. L’outil « Unicode Detector » de Rancio est spécifiquement conçu pour cela.regex:[^\x00-\x7F]

• Inspection visuelle : Soyez vigilant face aux noms de fichiers qui semblent légèrement « décalés », contiennent des symboles inhabituels ou ont un espacement irrégulier.

• Résultats de l’outil : Faites attention à la façon dont différents outils affichent les noms de fichiers. Les points d’interrogation ou les erreurs de rendu peuvent être indicatifs.

• Outils avancés d’analyse : Des outils comme MFTECmd ou INDXRipper, qui analysent directement les métadonnées du système de fichiers, peuvent gérer les chemins Unicode de manière plus fiable que les outils s’appuyant sur des API d’OS standard.