[資安訊息警訊]駭客偽冒行政院院長室發送社交工程攻擊信件 公告單位： 電子計算機中心 公告日期： 099/08/06~099/08/11 公告內容： [說明] 技術服務中心於近日接獲通報，駭客偽冒行政院院長室發送社交工程攻擊信件，內文中包 含有關人員之簽名檔，製作惡意程式(使用RTLO方法)誘使使用者點擊，以取得使用者權限 或執行遠端程式。當使用者點擊這類檔案時，可能於受攻擊成功後遭植入惡意程式，攻擊 者將可控制受害系統執行任意惡意行為。 該手法係利用作業系統解讀檔案名稱時，若遇到Unicode控制字元，會改變檔案名稱的顯 示方式進行攻擊。駭客可以在檔案名稱中，插入特定的Unicode控制字元，導致作業系統 在顯示該檔案名稱時，誤導使用者。 例如，駭客可能將惡意程式命名為：提醒[202E]TXT.SCR，即會顯示為：提醒RCS.TXT，讓 收件人誤以為是純文字檔，提升點擊的機率。 本中心已發現使用該弱點之惡意文件，經由電子郵件進行攻擊。建議使用者參照以下建議 措施來防堵這類的攻擊手法。 [影響平台] 常見Linux平台之圖形介面(如KDE與GNOME)在支援Unicode時亦受影響 [建議措施] 1. 執行警訊附件的block_rtlo_winxp,vista.reg或block_rtlo_win7.reg後重開機(建議 措施1、2擇一套用)。 2. 手動設定下列阻擋Unicode偽裝檔名惡意程式的方法： (1) 點選”開始”→”執行”→輸入”gpedit.msc” (2) 點開”電腦設定”→”Windows設定”→”安全性設定” (3) 在”軟體限制原則”上點選右鍵→”建立新原則” (如果之前有設過別的軟體限制原 則，此步驟可忽略) (4) 點開”軟體限制原則”→在”其他原則”上點選右鍵→”新增路徑規則”→在”路徑 ”處輸入”*[202E]*”(註1)，安全性等級=”不允許”→”確定” (5) 重新開機 3. 確認檔案屬性後才點擊該檔案，若發現檔案名稱中存在異常字元(如rcs, exe, moc等 可執行檔案副檔名的逆排序)，請提高警覺。 4. 將郵件附檔儲存至硬碟中，利用命令提示字元視窗查看其檔名。由於命令提示字元視 窗並不支援Unicode，故該手法並無作用。 5. 使用防毒軟體掃描郵件附檔。 6. 建議取消「隱藏已知檔案類型的副檔名」功能，設定方式詳見如下： (1) 滑鼠點選【開始】→【控制台】→【資料夾選項】，出現資料夾選項視窗。 (2) 於資料夾選項視窗點選「檢視」，將「隱藏已知檔案類型的副檔名」選項取消核選， 再點選「套用」→「確定」即可完成設定。 7. 請勿開啟未受確認之電子郵件附件。 註1：[202E]的輸入方式需先在HKEY_Current_User/Control Panel/Input Method下新增 字串值EnableHexNumpad=1後(可執行附件enable_hex_numpad.reg)，為長按[Alt]，依序 輸入[+], [2], [0], [2], [E]，注意路徑處前後需加上*。 相關網址： 聯絡人： 林志豪 聯絡方式： E-MAIL:chlin@csmu.edu.tw 中山醫學大學 台中市402南區建國北路一段110號 電話：04-24730022﹝總機﹞ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.127.117.39