探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”

显示全部楼层 · 发表于 2010-10-26 11:21:23

本帖最后由 KCloud 于 2010-10-26 12:06 编辑

刚刚在360区看到一篇有趣的文章，老板写的：http://bbs.kafan.cn/thread-822678-1-1.html

其原理简单来说就是利用Unicode控制符反转伪装后缀名，使exe变成jpg后缀，然后通过修改应用程序ico图标变成一张图片，从而诱使用户点击。

这个漏洞看似很危险，因为很多网友看到一张图片后缀为jpg时，一般会放松警惕，直接双击（尤其是这个图片是美女图片等时），而此时该应用程序可以直接执行（因为其本质其实还是exe），从而造成危险。

虽然本人防御装备是金山毒霸，但我把这个贴发在国内区的目的，主要是讲述防御这个漏洞的方法，所以希望尽可能多的朋友能看到，本质上，只要是拥有完整杀毒引擎的杀软应该是都能够防御的。

样本地址：http://bbs.kafan.cn/thread-822820-1-1.html

一、先依照老板贴，将样本ico转换为毒霸的图标，然后反转后缀为jpg

二、设置毒霸为不扫描jpg文件，以此来验证毒霸是否会被反转的jpg后缀欺骗

三、扫描真正的jpg文件，发现确实跳过了：

四、扫描老板的MM伪装exe文件，发现没有被后缀所欺骗，还是扫描了（当然计算器是无毒的）

五、扫描样本本体，验证为有毒：

六、扫描经过伪装的样本，显示有毒，并且报毒名称正确：

七、切换到快速监控，双击运行该修改样本，模拟真实用户情况：

首先被金山卫士拦截了（请注意：金山卫士报的是真实的、未被翻转过的原始名称！注意右下角文件名为翻转过的）：

关闭金山卫士，检测毒霸监控，也被拦截：

八、由于没有装360杀毒，所以用360安全卫士检测test文件夹，发现仅检测出了源文件，未检测出修改的样本：

九、打开360木马防火墙，双击病毒原样本，病毒被360木马防火墙率先拦截（实机测试，切勿模仿）:

十、双击经过伪装的病毒样本，360无反应，毒霸拦截（假如360木马防火墙有效，应该在毒霸之前拦截，如九所示）：搞笑一刻：注意提示框：提示框的文字都被翻转了

由于该样本动作太多，所以真相帝没敢关闭毒霸监控，实机运行该样本。

以下是comodo在线沙盘报告：

经过测试，发现经过后缀名翻转操作以后，源文件MD5值发生了变化，这可能是导致360卫士木马扫描失效的原因。

白羊提醒：样本并未真正运行。所以我关闭了毒霸监控，果然，360安全卫士弹出拦截：

knsdave(可牛杀毒)是金山网盾？

但是虽然如此，搜狗输入法和浏览器的安装并未拦住（幸好可以手动终止）

百度工具条虽然被阻止了很多次，也还是装上了

金山毒霸和急救箱检测结果：

虽然卫士拦截了knsd，似乎也创建了文件

根据实际操作，更加神奇的是，当系统设置为“显示后缀名的时候”，这个修改样本后缀为jpg：

但是当我设置为“隐藏后缀名”的时候，这个样本乖乖现了原形：

也就是说：当用户电脑设置为“隐藏后缀名”的时候，这种修改没有任何用处，“jpg”会作为文件名显示，这样一来，用户下载不明后缀的程序时，必然会多看一眼。

而翻转后缀名虽然能更改文件的MD5，但对于使用特征码查杀的杀毒软件来说，是完全无效的，也就是说，假如我使用的是360杀毒，BD病毒库有这个程序的话，那即使我翻转了后缀名，也能进行防御。不过这也从侧面验证了MD5匹配技术虽然快捷，但由于是1对1的匹配，安全性方面还是存在不足。

虽然此次测试仅测了毒霸和360安全卫士，但我认为：带特征码查杀引擎的杀软都能够识别被伪装后缀的exe程序，而传统的HIPS软件，例如comodo也肯定能拦截到样本的动作。所以综上所述，大家完全不必担心有朝一日，这个漏洞会被用来攻击我们的电脑。只要我们安装了功能完善的杀毒软件，肯定能防御这种类型的病毒。而日常使用习惯中，“隐藏文件后缀名”也是可以一定程度上进行防御的。

总而言之，良好的使用习惯（看到美女图片别急着点），功能完善的杀毒软件（而不是辅助软件），就能够很好的保护我们的安全，不管是国内用户，还是国外用户都是一样。

显示全部楼层 · 发表于 2010-10-26 11:25:05

支持真像帝测试.
期待LX有反驳的..

显示全部楼层 · 发表于 2010-10-26 11:30:22

看到美女不要那么猴急就没事啦~~嘻嘻~~

显示全部楼层 · 发表于 2010-10-26 11:30:41

但为何木马防火墙之前报的是特征，之后却没有报行为呢？

这句话耐人寻味，样本没有运行，哪来的行为，你想让谁去报？

显示全部楼层 · 发表于 2010-10-26 11:32:44

本帖最后由 KCloud 于 2010-10-26 11:35 编辑

回复 4楼白羊座的帖子

没有运行是因为被毒霸删掉了。

当然，我没虚拟机，请有虚拟机的童鞋试试。

你要是给我修电脑的钱，我就关掉毒霸实机运行试试

显示全部楼层 · 发表于 2010-10-26 11:32:52

不敢试毒。不过以前试过其它可执行程序，确实可以。我一般不显示扩展名。需要时再设置。

显示全部楼层 · 发表于 2010-10-26 11:36:58

KCloud 发表于 2010-10-26 11:32
回复 4楼白羊座的帖子

没有运行是因为被毒霸删掉了。

我正在试，没试之前就别那么早下结论OK？

显示全部楼层 · 发表于 2010-10-26 11:37:27

我猜可能是由于360木马防火墙对于流氓软件的判定还不完善所致。这个样本根据行为来看，是设定淘宝为主页，创建指向性网页快捷方式、后台下载百度工具条、搜狗拼音、搜狗浏览器等，并不是破坏系统或盗号的病毒和木马，所以其灰色行为没有被360木马防火墙拦截。

这个结论不知道哪里来的，版主对这种带着个人臆断的原创，还是果断+50分，嗯嗯

显示全部楼层 · 发表于 2010-10-26 11:41:11

运行后， 360肯定会拦的，楼主把毒霸关掉试试

显示全部楼层 · 发表于 2010-10-26 11:52:37

我是前来看真相的

[技术原创] 探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”

本帖子中包含更多资源

评分