Apa cara untuk menghindari atau mencegah file dengan karakter Unicode RLO (Right-to-Left Override) dalam namanya (metode malware untuk menipu nama file) agar tidak ditulis atau dibaca pada PC Windows?
Info lebih lanjut tentang karakter unicode RLO di sini:
Info tentang karakter unicode RLO, seperti yang digunakan oleh malware:
Ringkasan virus komputer / laporan insiden akses komputer yang tidak sah untuk Oktober 2011, disusun oleh Badan Promosi Teknologi Informasi, Jepang (IPA) [ Mirror (Google Cache) ]
Anda dapat mencoba halaman uji karakter RLO ini untuk melihat cara kerja karakter RLO.
Karakter RLO juga sudah ditempel di bidang 'Tes Input' di halaman web itu. Coba ketikkan di sana dan perhatikan bahwa karakter yang Anda ketikkan keluar dengan urutan terbalik (kanan-ke-kiri, bukan kiri-ke-kanan).
Dalam nama file, karakter RLO dapat secara khusus diposisikan dalam nama file untuk spoof atau menyamar sebagai memiliki nama file atau ekstensi file yang berbeda dari yang sebenarnya. (Akan tetap disembunyikan bahkan jika ' Sembunyikan ekstensi untuk tipe file yang dikenal ' tidak dicentang.)
Satu-satunya info yang saya dapat menemukan yang memiliki info tentang cara untuk mencegah file dengan karakter RLO dari yang dijalankan adalah dari situs Teknologi Informasi Badan Promosi, Jepang .
Adakah yang bisa merekomendasikan solusi bagus lainnya untuk mencegah file dengan karakter RLO di namanya tidak ditulis atau dibaca di komputer, atau cara untuk mengingatkan pengguna jika file dengan karakter RLO terdeteksi?
OS saya adalah Windows 7, tetapi saya akan mencari solusi untuk Windows XP, Vista dan 7, atau solusi yang akan bekerja untuk semua OS tersebut, untuk membantu orang menggunakan OS tersebut juga.
They adviced to use the Local Security Policy settings manager to block files with the RLO character in its name from being run.
Bisakah Anda memberi tahu kami mengapa ini bukan solusi?Jawaban:
Anda bisa menggunakan Semuanya dalam kombinasi dengan AutoHotkey untuk membuat peringatan kapan saja karakter kontrol teks dua arah membentuk bagian dari nama file.
Naskah
Apa yang dilakukannya
Script meluncurkan Semuanya dan mencari
‎|â€|‪|‫|‬|â€|‮
(UTF8), yaitu, ketujuh karakter teks kontrol dua arah ( sumber ), dipisahkan oleh|
.Kemudian, skrip menyembunyikan jendela Semuanya dan memonitor bilah statusnya. Ketika itu berisi angka yang berbeda dari
0
, kecocokan telah ditemukan, jendela Semuanya ditampilkan dan kotak pesan berikut muncul:Script juga meluncurkan kembali Segalanya jika itu ditutup.
Bagaimana cara menggunakan
Unduh , instal, dan luncurkan Semuanya.
Tekan Ctrl+ Pdan beralih ke tab Volume .
Untuk semua volume yang harus diperiksa, aktifkan perubahan Monitor .
Unduh dan instal AutoHotkey.
Simpan ke skrip di atas sebagai
find-bidirectional-text-control-characters.ahk
.Klik dua kali skrip untuk meluncurkannya.
Buat pintasan ke skrip di folder Startup Anda .
sumber
The Teknologi Informasi Badan Promosi, situs Jepang ( mirror link yang ), telah menyarankan menggunakan manajer Local Security Policy pengaturan untuk memblokir file dengan karakter RLO dalam namanya dari yang dijalankan.
(Saya tidak meniru instruksi lengkap karena saya tidak yakin apa lisensi hak cipta situs web itu pada konten mereka.)
sumber
Mungkin ada cara lain, tetapi cara termudah - namun tidak sepele - adalah menerapkan filter sistem file (atau filter-sistem file mini) yang menyaring permintaan ini. Dalam hal membaca dari file seperti itu, Anda dapat kembali
STATUS_ACCESS_DENIED
dan ketika menulis Anda tidak harus melakukan apa pun selain mencegah file tersebut dibuat (kemungkinan juga dengan kode kesalahan di atas) di tempat pertama. Penciptaan adalah jenis permintaan lain.Orang dapat membayangkan metode lain untuk mencapai hasil yang serupa, seperti pengait SSDT. Tetapi satu-satunya cara yang dapat diandalkan adalah cara di atas.
Untuk melakukan itu, Anda harus meminta seseorang untuk menulis filter semacam ini untuk Anda (relatif sepele untuk filter mini untuk pengembang kernel) dan kemudian menandatanganinya untuk mendapatkannya melalui kebijakan penandatanganan mode kernel sejak Vista. Jika Anda tidak ingin melakukan yang terakhir, Anda masih dapat menguji-menandatangani biner driver dan memodifikasi opsi-opsi boot Anda untuk memungkinkan konten yang ditandatangani uji - sehingga membahayakan keamanan sistem masing-masing.
Mengingat informasi ini, saya akan sangat menyarankan Anda untuk menggunakan solusi yang galacticninja dan Tom Wijsman tunjukkan.
sumber
Saya tidak berpikir hal seperti itu tersedia di desktop, tetapi Anda harus dapat mencegah hal-hal seperti itu ditulis ke server file Anda:
Menerapkan Penyaringan File di Windows Server 2003 R2
sumber