國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
資訊來源︰國家資通安全會報 技術服務中心
發布編號
ICST-ANA-2010-0001
發布時間
2010/05/28 13:20:53
事件類型
攻擊活動預警
發現時間
2010/05/25
警訊名稱
新型社交工程攻擊手法通知
內容說明
技術服務中心近日發現,駭客大量利用新式誘騙手法誘騙使用者執行惡意程式。使用者一旦誤點擊誘騙檔案,電腦隨即遭植入惡意程式,駭客將可進一步控制使用者的電腦。 該手法係利用作業系統解讀檔案名稱時,若遇到Unicode控制字元,會改變檔案名稱的顯示方式進行攻擊。駭客可以在檔案名稱中,插入特定的Unicode控制字元,導致作業系統在顯示該檔案名稱時,誤導使用者。 例如,駭客可能將惡意程式命名為: 資訊安全推動委員會[202E]cod.exe 資訊安全推動委員會[202E]tpp.scr 其中括號內為Unicode控制字元202E,該控制碼為不可視字元,可控制後續字元由右至左顯示(Right To Left Override)。 當作業系統解譯與顯示檔案名稱時,會將其顯示為: 資訊安全推動委員會exe.doc 資訊安全推動委員會rcs.ppt 進而將執行檔偽裝為doc檔,誘騙使用者點擊該程式。本中心已發現大量使用該手法之惡意程式,經由社交工程信件進行攻擊,目前尚無任何修補程式可下載。建議使用者參考以下建議措施以防堵類似攻擊手法。
影響平台
Windows系列平台
常見Linux平台之圖形介面(如KDE與GNOME)在支援Unicode時亦受影響。
建議措施
確認檔案屬性後才點擊該檔案,若發現檔案名稱中存在異常字元(如rcs, exe, moc等可執行檔案副檔名的逆排序),請提高警覺。
將郵件附檔儲存至硬碟中,利用命令提示字元視窗查看其檔名。由於命令提示字元視窗並不支援Unicode,故該手法並無作用。
使用防毒軟體掃描郵件附檔。
參考資料
TOP