RLO Unicode偽裝檔名攻擊的預防方法

剛才忽然有人問起一個unicode控制字元偽裝副檔名的攻擊法
這種偽裝法在多年前winny病毒流行時已經被發現,不知道為什麼最近會被提出來,還蠻讓人納悶...
<漏洞/資安訊息警訊>新型社交工程攻擊手法通知
不管怎樣,這是個早就存在的攻擊法,而且在支援unicode的系統(windows 2000以上)都會發生
這個控制碼的機制是,讓在它之後的字元變成從右到左顯示(right-to-left override; RLO)
所以例如本來"setup-txt.exe"這樣的檔名,在txt前面插入RLO控制字元之後就變成"setup-exe.txt"
RLO-exploit.JPG
因為就算檔案總管設定"顯示所有副檔名",還是沒法預防這種攻擊法,所以真的要很小心...

以下是兩個預防被這種偽裝檔名攻擊的方法:
1.辨識RLO偽裝檔
打開該檔案之前先右鍵→查看檔案詳細,就會發現,為什麼txt檔卻是顯示"應用程式"
這個辨識方法是基本中的基本,可惜真正這樣做的並不多...

2.阻止RLO偽裝檔執行
方法是設定系統組態,阻止任何有插入RLO碼的檔案被執行
步驟是:
1.執行"gpedit.msc"開啟組態編輯程式
2.移動到"電腦設定"→"Windows設定"→"安全性設定"→"軟體限制原則"→右鍵→"新增新的軟體限制原則"→右鍵→"新增路徑規則"
software-restrict-policy.JPG
3.開啟記事本(notepad.exe),打入"**"(兩個星號)→游標移到兩個星號中間→右鍵→"插入Unicode控制碼→RLO"
software-restrict-policy2.JPG
4.把記事本裡的內容全選複製,貼到"新增路徑規則",並且設定"不允許" (RLO控制碼看不到是正常現象)
software-restrict-policy3.JPG
這樣就設定結束...
接著看看設定的效果,就是執行有插入RLO控制碼的程式...結果:
no-RLO.JPG
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=902&extra=587100
taggedTags: 資安 RLO unicode 偽裝
Comments: 3 |Trackback: 0 | Read: 4245 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
24 Google search: unicode 檔名
14 http://funp.com/t1576008
5 http://www.baidu.com/s?wd=a
5 http://50.28.77.10/read-902.html
4 Google search: RLO
comment adam200233 [ 2010/05/29 22:12 | Reply | Edit Delete View ]
2.阻止RLO偽裝檔執行
中的
執行"gpedit.msc"開啟組態編輯程式
Windows XP home 沒有
幫你補充一下使用組態編輯程式的方法
1、將XP專業版的「C:\WINDOWS\system32」文件夾中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件複製到HOME版的「C:\WINDOWS\system32」文件夾中。
2、在「開始--執行」中依次執行以下命令:「regsvr32 fde.dll」、「regsvr32 gpedit.dll」、「regsvr32 gptext.dll」、「regsvr32 wsecedit.dll」分別註冊這4個動態數據庫。
3、將XP專業版的「C:\WINDOWS\INF」文件夾中的所有*.adm文件複製替換到HOME版的「C:\WINDOWS\INF」文件夾中
4、最後單擊「開始--執行」,輸入「gpedit.msc」便可以啟動組策略了
>>reply小光 [ Replied on 2010/05/30 05:15 Home | Edit Delete ]
         avatars 中途半端的home版的確是難點...當然直接進registry加也是方法之一
comment adam200233 [ 2010/05/29 22:13 | Reply | Edit Delete View ]
不過我找不到XP專業版所以做不到=.=
  • 1 
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)