unicode字元反轉
當收到郵件附加檔案名稱為xxx.rcs.doc這類的檔案時,要千萬小心!
這個檔案看起來是doc檔,其實不然,它非常有可能是內含惡意程式的檔案。
【資安宣導】Unicode字串反轉攻擊與防範
Unicode (ISO/IEC 10646)是國際通用的文字符號編碼標準,廣泛使用於電腦系統以表示世界各國文字,包括微軟視窗(Windows -NT、-2000、-XP、-Vista、-7等)、Apple-OS、Linux等作業系統,C++、Java、PHP等語言,以及Oracle、Informix、Mysql等資料庫管理系統。
Windows作業系統顯示Unicode字元所組成的檔案名稱時,只要遇到Unicode的特殊“x202E”就進行字串反轉。例如:駭客將含有惡意程式的檔案命名為「提醒x202ETXT.SCR」,但使用者看到的檔案名稱卻是字元反轉之後的「提醒RCS.TXT」。藉由這種方法,駭客可以讓將副檔名原為".SCR”、".EXE”或".COM”的惡意程式偽裝成副檔名為“.TXT”的純文字檔,因而誤導使用者點選執行惡意程式。
為防堵Unicode字串反轉攻擊,建議使用Windows作業系統的同仁下載設定檔(網址:https://www.ncert.nat.gov.tw/a1_main_doc_downloadServlet?file=ICST-ANA-2010-0006.rar),並依下列方式關閉Unicode字串反轉功能後,再重新開機。
1.若作業系統為Windows XP/Vista、Server 2003,執行block_rtlo_winxp,vista.reg
2.若作業系統為Windows 7,執行block_rtlo_win7.reg
RTLO是Right to Left Override的縮寫,主要的攻擊方式是利用檔案名稱編排呈現方式來誘騙使用者執行偽裝後的惡意檔案,一般英文語系國家書寫方式是由左至右編排,但是在中東的國家其書寫方式是由右至左編排,於是攻擊者即可透過Unicode萬國碼的支援特性來製作攻擊範本,下面有個簡單的攻擊範例可供參考。
樂透中獎號碼gpj.exe其實是個寫好包裝的木馬程式 滑鼠遊標停在"碼"字後右鍵插入LRO就可以看到「樂透中獎號碼exe.jpg」
原文網址:資安人科技網 Information Securityhttp://www.informationsecurity.com.tw/answers/answer_detail.aspx?tid=50#ixzz2NKsehEeA