Achtergrond
image

Detailweergave redt Windows-gebruikers

zaterdag 10 september 2011, 11:48 door Redactie, 14 reacties

Windows-gebruikers doen er verstandig aan om de Detailweergave te selecteren, anders lopen ze het risico door RTLO-malware besmet te raken. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Het wordt vooral gebruikt voor het schrijven en lezen van Arabische of Hebreeuwse teksten. Het is echter ook populair bij het uitvoeren van gerichte aanvallen, waarbij aanvallers vertrouwelijke netwerken proberen te infiltreren. RTLO zorgt er namelijk voor dat SexyPictureGirl[RTLO]gpj.exe als SexyPictureGirlAlexe.jpg in Windows wordt weergegeven, ook al staat het weergeven van bestandsextensies ingeschakeld. Veel van de RTLO-malware wordt voorzien van een ander icoon om de omgedraaide bestandsextensie weer te geven. Hierdoor denkt de gebruiker dat het om een onschuldige afbeelding gaat, terwijl het in werkelijkheid een uitvoerbaar .exe-bestand is.

Extensie
Onlangs rapporteerde beveiligingsbedrijf Commtouch dat het gebruik van RTLO-malware weer uitgebreid werd ingezet. De malware wordt daarbij in een ZIP-bestand gestopt, waardoor virusscanners soms de inhoud niet kunnen scannen. Uitpakprogramma's zoals WinZip, WinRAR en 7-Zip geven in dit geval in plaats van de echte extensie, de RTLO-extensie weer.

De techniek wordt vooral voor gerichte aanvallen ingezet. "We hebben de afgelopen week duizenden exemplaren gezien die deze techniek gebruiken", zegt Lordian Mosuela van Commtouch in een interview met Security.nl. Volgens hem is RTLO nog steeds een vrij ongewone techniek en wordt het vooral gebruikt voor het infecteren van bedrijfscomputers. "Werknemers moeten voor deze techniek oppassen en dit soort bijlagen niet openen, anders raken ze besmet met het virus."


Microsoft
Mosuela zou graag zien dat Microsoft een optie biedt om RTLO uit te schakelen. "Aangezien dit niet zal gebeuren, adviseren we gebruikers om hiervoor op te passen en de Detailweergave van Windows te gebruiken." Door naar het type bestand te kijken, zal zelfs bij RTLO-malware worden aangegeven dat het om een applicatie gaat. Daarnaast doen gebruikers er verstandig aan om geen verdachte bijlagen te openen, zelfs als die van een bekende afkomstig zijn. "Dat is de beste manier om je tegen dit soort malware te beschermen", merkt Mosuela op.

Beveiligingsonderzoekster Mila Parkour, die zich specialiseert in gerichte aanvallen, laat tegenover Security.nl weten dat ze RTLO vaak tegenkomt, maar dat het gebruik van kwaadaardige bijlagen nog altijd populairder is. Ondanks de groei van RTLO-malware, is ze niet bang voor een pandemie. De reden hiervoor is dat de techniek meestal voor binaire-bestanden wordt gebruikt, zoals .exe en .scr. Binaire bestanden zijn binnen ZIP-bestanden eenvoudig te detecteren. Parkour merkt op dat ze weleens gezien heeft dat de ZIP-archieven met een wachtwoord beveiligd worden, maar dit kan de ontvanger weer waarschuwen dat het een verdacht bestand is.

Geloofwaardig
Een alternatief voor RTLO-malware is het sturen van een link naar een ZIP of RAR-bestand. Dat is bijna onmogelijk voor scanners om te detecteren, zo laat ze weten. "Het probleem voor de aanvallers hierbij is ervoor te zorgen dat het URL domein geloofwaardig genoeg is. Veel mensen weten inmiddels dat ze door met de muis over de link heen te zweven de echte URL kunnen zien." Daarnaast plaatsen de meeste mensen geen documenten voor interne kantoorcommunicatie op externe sites, terwijl gerichte aanvallers dit juist proberen te vervalsen.

De meeste bedrijven zijn volgens haar in staat om met het gevaar van RTLO-malware om te gaan. Het gaat dan om bedrijven die uniforme afbeeldingen of "clone templates" voor computers gebruiken. Ook het gebruik van applicatie-whitelisting op bedrijfscomputers zal een gebruiker waarschuwen dat het geen document of afbeelding is, maar een applicatie die ze proberen te starten.


Windows XP
Zowel voor bedrijven als thuisgebruikers adviseert ook Parkour om de Detailweergave van Windows te selecteren. Verder moet ook de "Type" kolom duidelijk zichtbaar zijn. "En onderwijs gebruikers dat ze elk ZIP of RAR-archief met dezelfde voorzichtigheid als een .exe-bestand behandelen." Wat betreft het verwijderen van dit unicode-karakter door Microsoft merkt ze op dat dit niet mogelijk is, aangezien het "een integraal en belangrijk onderdeel van het besturingssysteem" is. Onderzoeker Jordi Chancel is het niet met haar eens. "Het is jammer dat Microsoft deze unicode in bestanden verbiedt". Hij laat in dit onderzoek weten dat het probleem niet alleen bij bestanden speelt, maar ook bij links, waardoor gebruikers naar phishingwebsites zijn te lokken.

De afbeelding rechts is afkomstig van F-Secure en laat zien hoe de RTLO-malware in een ZIP-archief verstopt zit. Het Windows uitpakprogramma herkent dat het een uitvoerbaar bestand is, maar in de Windows-verkenner wordt het toch als een Word document weergegeven. Ook verschillende uitpakprogramma's herkennen dat het om een applicatie gaat, maar geven toch de .doc-extensie weer.

Volgens het Noorse anti-virusbedrijf Norman, speelt het probleem standaard alleen bij Vista en Windows 7, aangezien gebruikers van Windows XP een update moeten installeren om het RTLO unicode-karakter te laten werken.

Reacties (14)
10-09-2011, 12:33 door [Account Verwijderd]
[Verwijderd]
10-09-2011, 13:48 door Anoniem
Vind je het gek, sinds ze hier laten zien hoe je het moet doen is het aantal RTLO aanvallen enorm gestegen: http://tinyurl.com/3pdx36p

Wel sneu dat sommige mensen hierin trappen.
10-09-2011, 16:55 door [Account Verwijderd]
[Verwijderd]
10-09-2011, 19:51 door Spiff has left the building
Door unbalanced: Dat is wel een erg lompe oplossing.
Weet je een galanter oplossing te noemen voor het genoemde probleem?
En waarom vind je het zo'n lompe oplossing?
Ik heb vrijwel al m'n mappen in detailweergave staan, bijzonder inzichtelijk. Alleen m'n mappen met afbeeldingen en foto's staan in "grote pictogrammen" weergave, maar in die mappen zet ik alleen zaken waarvan ik zeker weet dat het afbeeldingen betreft.
10-09-2011, 22:19 door lucb1e
Ik krijg het niet werkend op XP, en ik lees ergens dat dat geen unicodes aankan?

XP for the win :P
10-09-2011, 22:47 door Spiff has left the building
Door lucb1e: Ik krijg het niet werkend op XP, en ik lees ergens dat dat geen unicodes aankan?
Door Redactie: Volgens het Noorse anti-virusbedrijf Norman, speelt het probleem standaard alleen bij Vista en Windows 7, aangezien gebruikers van Windows XP een update moeten installeren om het RTLO unicode-karakter te laten werken.
@ lucb1e,
Als Norman gelijk heeft, dan hoef je met XP niks te ondernemen, wanneer je die specifieke update nooit hebt geïnstalleerd.
En wat bedoel je met "Ik krijg het niet werkend op XP"? Je mappenweergave in Verkenner/Explorer op detailweergave instellen? Dat zal toch geen probleem zijn, lijkt me?
11-09-2011, 09:49 door Anoniem
Door Anoniem: Vind je het gek, sinds ze hier laten zien hoe je het moet doen is het aantal RTLO aanvallen enorm gestegen: http://tinyurl.com/3pdx36p

Wel sneu dat sommige mensen hierin trappen.

Volgende keer gewoon de volledige link posten aub
http://leetcoders.org/forum/showthread.php?tid=398

Je zit hier niet op Twitter...


Detail weergaven instellen?
Ik mag al blij zijn als Windows de normale weergaven onthoud!

Ik doe mijn documenten als lijst weergeven en sorteren op typen.
En het zelfde geld voor mijn muziek, maar toch moet en zal die instelling NIET WORDEN OPGESLAGEN.

Dus hoe gaat deze 'paarden-worden-around' in godsnaam werken als Windows dit niet eens kan onthouden!? :|
11-09-2011, 18:16 door Anoniem
Hier wordt het ook nog eens uitgelegd: http://digitalplace.nl/tutorials/exploits/1072/windows-bestandsnaam-exploit

Je moet opletten of er voor de punt geen exe of rcs staat, en detailleringscherm aanzetten. Dan zie je het zo.
12-09-2011, 08:58 door Mysterio
Elke zichzelf respecterende mailserver blokkeert deze bijlage toch? En als je dit wilt downloaden zie je ook dat het een applicatie betreft... Ik vind het een storm in een glas water.
12-09-2011, 11:37 door Riviera
Een mailserver kan neem ik aan toch wel naar het MIME/type kijken?
12-09-2011, 13:30 door Anoniem
"Ik ken al bedrijven die standaard elke bijlage weigeren. Dat is een afdoende maatregel tegen deze infectie."

Jups, de internetverbinding platgooien, of de computers de deur uit doen, ook. Het weigeren van iedere vorm van bijlage is nauwelijks haalbaar vandaag de dag.
12-09-2011, 16:04 door Ilja. _V V
In (XP) Configuratiescherm onder Landinstellingen, Talen, Details, Geavanceerd onder Systeemconfiguratie kan Geavanceerde geavanceerde tekstservices uitschakelen AAN gevinkt worden, Toepassen, OK.

Volgens mij lukt die truuk dan niet meer.*

Ander probleem kan zijn dat ARIALUNI.TTF (of soortgelijk) is geinstalleerd. Geen idee of die truuk dan weer wel lukt.

P.S: * - Deze instelling is per gebruiker.
15-09-2011, 14:53 door Anoniem
Hier de How-to tuterial:
http://esploit.blogspot.com/2011/05/practical-rtlo-unicode-spoofing.html
10-08-2012, 13:50 door Anoniem
Door Anoniem: Detail weergaven instellen?
Ik mag al blij zijn als Windows de normale weergaven onthoud!

Ik doe mijn documenten als lijst weergeven en sorteren op typen.
En het zelfde geld voor mijn muziek, maar toch moet en zal die instelling NIET WORDEN OPGESLAGEN.

Dus hoe gaat deze 'paarden-worden-around' in godsnaam werken als Windows dit niet eens kan onthouden!? :|

Typisch, bij mij heb de instellingen van mijn verschillende categorien mappen aangepast ingesteld. Je moet misschien wel even zoeken naar de plek waar dit moet, nl. in de map-opties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search