image

Microsoft waarschuwt voor RTLO-aanvallen

zondag 16 september 2012, 09:05 door Redactie, 14 reacties

Een manier om de extensie van een bestandsnaam te verhullen wordt steeds vaker toegepast om computers met malware te infecteren, zo waarschuwt Microsoft. Het gaat om de zogeheten RTLO-truc. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlgpj.exe als SexyPictureGirlexe.jpg in Windows weergegeven.

"De meeste gebruikers kennen het gevaar om op onbekende uitvoerbare bestanden te klikken, dus gebruiken de aanvallers RTLO-karakters om de bestandsnaam te vermommen", zegt Raymond Roberts van het Microsoft Malware Protection Center. Hij merkt op dat deze truc niet nieuw is. "Maar dat betekent niet dat de methode niet veel gebruikt wordt, sterker nog, we zien dit regelmatig gebeuren."

Windows-gebruikers die detailweergave instellen zullen echter zien dat de zogenaamde afbeelding, Word of tekstbestand in werkelijkheid een applicatie is, zoals Security.nl in dit artikel uitlegt.

Reacties (14)
16-09-2012, 09:39 door regenpijp
En daar zien we RTLO nog een keer voorbij komen, eigenlijk wel komisch dat hier al zeker voor de 3e keer een fout wordt gemaakt met die bestand naam aangezien SexyPictureGirlgpj.exe niet SexyPictureGirlAlexe.jpg wordt, maar SexyPictureGirlexe.jpg.

Maar RTLO is maar een van de manieren om een gebruiker op een bestand te laten klikken, werkt overigens wel lijkt me.
16-09-2012, 11:01 door yobi
Jammer van de implementatie van Microsoft. Men zou verwachten dat de daadwerkelijke icoon getoond wordt en niet die van de vermomming. Ook jammer dat deze optie niet is uit te schakelen.
16-09-2012, 11:57 door Rolfieo
Gelukkig kan je dit blockeren via een GPO. Hierdoor kan een RTLO applicatie niet meer opgestart worden.
Quick fast en je blokeerd meteen een hoop nieuwe virussen.

http://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html
16-09-2012, 12:00 door Anoniem
Welke GPO is dat?
16-09-2012, 13:34 door [Account Verwijderd]
[Verwijderd]
16-09-2012, 13:38 door Spiff has left the building
Door Rolfieo: Gelukkig kan je dit blockeren via een GPO. Hierdoor kan een RTLO applicatie niet meer opgestart worden.
Quick fast en je blokeerd meteen een hoop nieuwe virussen.

http://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html
Onder I (4) <iii>Countermeasures against a virus that exploits RLO

Heel netjes, Rolfieo, dankjewel.
Ik vraag me af waarom dit hier niet eerder door iemand is aangestipt. Of heb ik daar eerder overheen gelezen?

Een kanttekening bij de beschreven methode is wel dat secpol.msc (Local Security Policy Editor, Lokaal beveiligingsbeleid) alleen beschikbaar is onder de Windows Professional (Business onder Vista), Ultimate en Enterprise edities.


[wijziging 1: (4) tussengevoegd]
[wijziging 2: correctie in de Windows edities]
16-09-2012, 14:44 door Spiff has left the building
N.B.
Aanvulling op het bovenstaande betreffende "Countermeasures against a virus that exploits RLO",
http://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html

Onder I (4) <iii> Step 5 wordt een handeling niet vermeld die wel nodig is:
het kiezen van Apply (Toepassen), vóór het bevestigen met OK.
16-09-2012, 15:29 door Anoniem
Door Spiff:
N.B.
Aanvulling op het bovenstaande betreffende "Countermeasures against a virus that exploits RLO",
http://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html

Onder I (4) <iii> Step 5 wordt een handeling niet vermeld die wel nodig is:
het kiezen van Apply (Toepassen), vóór het bevestigen met OK.
Dat is toch helemaal niet nodig?
16-09-2012, 15:39 door blackyy
Als ik dit bestand maak: virusvbs.doc wordt het een doc. geen VBS.

Help!
16-09-2012, 18:03 door Anoniem
@blackyy

Je snapt er niks van. Ten eerste moet je verborgen extensie in spiegelbeeld zijn.. dus virussbv.doc in plaats van virusvbs.doc en ten tweede moet je de juiste unicode karakters gebruiken, normale karakters op jouw toetsenbord werken niet.

Nog even oefenen ;-)
17-09-2012, 01:24 door Spiff has left the building
Opvallend, overigens, dat nauwelijks ergens verwezen wordt naar die pagina
http://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html
en naar wat beschreven wordt onder I (4) <iii>Countermeasures against a virus that exploits RLO

Alleen op Wilders Security Forums vind ik er een verwijzing naar:
http://www.wilderssecurity.com/showthread.php?t=317694

Die maatregel tegen Right-to-Left-Override malware aanvallen die beschreven wordt op die www.ipa.go.jp/ pagina zou toch meer belangstelling moeten wekken, zou je denken?

Of wordt het enthousiasme geremd doordat de beschreven methode door middel van secpol.msc (Local Security Policy Editor, Lokaal beveiligingsbeleid) alleen beschikbaar is onder de Windows Professional (Business onder Vista), Ultimate en Enterprise edities?

Of is er iets mis met die methode en is ie niet zo nuttig als ie wordt voorgesteld?
Heeft iemand het getest?
17-09-2012, 11:06 door Spiff has left the building
Door Spiff, zo.16-9, 14:44 uur:
Onder I (4) <iii> Step 5 wordt een handeling niet vermeld die wel nodig is:
het kiezen van Apply (Toepassen), vóór het bevestigen met OK.

Door Anoniem, zo.16-9, 15:29 uur:
Dat is toch helemaal niet nodig?

In mijn ervaring wel.
Zonder "Toepassen" werd ingesteld op Beveiligingsniveau "Basisgebruiker", in plaats van "Niet toegestaan".
17-09-2012, 11:26 door Anoniem
Door Spiff:
Die maatregel tegen Right-to-Left-Override malware aanvallen die beschreven wordt op die www.ipa.go.jp/ pagina zou toch meer belangstelling moeten wekken, zou je denken?

Of wordt het enthousiasme geremd doordat de beschreven methode door middel van secpol.msc (Local Security Policy Editor, Lokaal beveiligingsbeleid) alleen beschikbaar is onder de Windows Professional (Business onder Vista), Ultimate en Enterprise edities?

Of is er iets mis met die methode en is ie niet zo nuttig als ie wordt voorgesteld?
Heeft iemand het getest?

Die methode is heel nuttig, maar je moet het niet zo specifiek aanpakken als daar als voorbeeld staat.
Als je een aantal rules maakt dan kun je het zo instellen dat exe bestanden (en de rest van de lijst extensies die er default in staat) wel mogen op C:\ maar niet op C:\Documents and Settings (of C:\Users) en ook niet op de netwerkschijven.
Dit uiteraard gecombineerd met het werken als gewone user en niet als administrator, en het op de juiste manier instellen van de schrijfrechten op C: (users mogen wel in hun profieldirectory schrijven maar verder nergens anders). Wil je schrijftoegankelijke mappen hebben voor algemeen gebruik sluit dan ook daar de exe bestanden uit.
Je kunt de LNK extensie beter verwijderen uit de lijst, anders werken snelkoppelingen op het bureaublad niet meer.

Gevolg: alle software mag alleen gerund worden als deze eerst door een administrator is geinstalleerd.
Drive-by downloads, gemailde bestanden, etc worden niet uitgevoerd.
Dit beschermt tegen de meeste aanvallen die de laatste tijd de ronde doen omdat die allemaal uitmonden in het downloaden van een exe bestand naar de TEMP map en vervolgens uitvoeren hiervan. Dat mag nu niet meer.
17-09-2012, 17:34 door MisterX
Door blackyy: Als ik dit bestand maak: virusvbs.doc wordt het een doc. geen VBS.

Help!

zie volgende video

http://www.security.nl/artikel/43123/1/RTLO.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.