伪装: 文件扩展名混淆

文件扩展名混淆（File Extension Obfuscation）是通过操纵文件命名规则误导用户及安全系统对文件类型的认知，从而实现恶意载荷隐蔽投递的技术手段。攻击者利用操作系统对文件扩展名的解析机制缺陷，采用空格填充、特殊Unicode字符（如右至左覆盖符U+202E）、多重扩展名叠加等方式构造非常规文件名，例如将"malware.exe"伪装为"document.pdf.exe"或"invoice.txt‮gpj.exe"，诱导用户误判文件类型并执行恶意代码。

该技术的匿迹效果源于对人工审查与自动化检测系统的双重欺骗。在人工交互层面，攻击者利用视觉混淆策略（如利用右至左字符反转扩展名显示顺序）诱导用户误操作；在自动化检测层面，通过构造非常规扩展名组合绕过基于固定扩展名黑名单的过滤机制。技术实现需结合目标系统的语言环境配置，动态调整混淆字符的选择策略。例如在阿拉伯语系统中使用RLO（Right-to-Left Override）字符，或在东亚语言环境中使用全角字符替换半角字符。高阶攻击链会将该技术与漏洞利用相结合，通过文件类型混淆触发解析逻辑漏洞，实现无交互静默执行。