圖書暨資訊處 -- [資安訊息警訊]-新型社交工程攻擊手法通知
:::
[資安訊息警訊]-新型社交工程攻擊手法通知

國家資通安全會報 技術服務中心

 

漏洞/資安訊息警訊

 

發布編號

 

ICST-ANA-2010-0001

 

發布時間

 

2010/05/28
13:20:53

 

事件類型

 

攻擊活動預警

 

發現時間

 

2010/05/25

 

警訊名稱

 

新型社交工程攻擊手法通知

 

內容說明

 

技術服務中心近日發現,駭客大量利用新式誘騙手法誘騙使用者執行惡意程式。使用者一旦誤點擊誘騙檔案,電腦隨即遭植入惡意程式,駭客將可進一步控制使用者的電腦。

 

該手法係利用作業系統解讀檔案名稱時,若遇到Unicode控制字元,會改變檔案名稱的顯示方式進行攻擊。駭客可以在檔案名稱中,插入特定的Unicode控制字元,導致作業系統在顯示該檔案名稱時,誤導使用者。

 

例如,駭客可能將惡意程式命名為:

 

資訊安全推動委員會[202E]cod.exe

 

資訊安全推動委員會[202E]tpp.scr

 

其中括號內為Unicode控制字元202E,該控制碼為不可視字元,可控制後續字元由右至左顯示(Right To Left Override)

 

當作業系統解譯與顯示檔案名稱時,會將其顯示為:

 

資訊安全推動委員會exe.doc

 

資訊安全推動委員會rcs.ppt

 

進而將執行檔偽裝為doc檔,誘騙使用者點擊該程式。

 

本中心已發現大量使用該手法之惡意程式,經由社交工程信件進行攻擊,目前尚無任何修補程式可下載。建議使用者參考以下建議措施以防堵類似攻擊手法。

 

影響平台

 

Windows系列平台

 

常見Linux平台之圖形介面(KDEGNOME)在支援Unicode時亦受影響。

 

建議措施

 

1. 確認檔案屬性後才點擊該檔案,若發現檔案名稱中存在異常字元(rcs, exe, moc等可執行檔案副檔名的逆排序),請提高警覺。

 

2. 將郵件附檔儲存至硬碟中,利用命令提示字元視窗查看其檔名。由於命令提示字元視窗並不支援Unicode,故該手法並無作用。

 

3. 使用防毒軟體掃描郵件附檔。

 

4. 建議取消「隱藏已知檔案類型的副檔名」功能,設定方式詳見如下:

 

 (1) 滑鼠點選【開始】→【控制台】→【資料夾選項】,出現資料夾選項視窗。

 

 (2) 於資料夾選項視窗點選「檢視」,將「隱藏已知檔案類型的副檔名」選項取消核選,再點選「套用」→「確定」即可完成設定。

 

5. 若收到寄件者為國家資通安全會報技術服務中心之信件,請確認數位簽章是否存在及正確性。凡本中心寄出之任何對外電子郵件皆含有數位簽章。數位簽章的檢查方式可參考「電子郵件數位簽章與憑證檢驗說明_V1_0.pdf(需登入通報應變網站後,於「資安文件下載區」下載)

 

參考資料

 

此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw/)進行修改。若您仍為貴 單位之資安聯絡人但非本事件之處理人員,請協助將此通告告知相關處理人員。

 

 

 

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。

 

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

 

地 址: 台北市富陽街116

 

聯絡電話: 02-27339922

 

傳真電話: 02-27331655

 

電子郵件信箱: service@icst.org.tw

 


友善列印

gotop