由最近的Windows快捷方式自动执行漏洞浅谈McAfee规则思路

大猫熊

看了这两天新闻的可能都知道，Windows又爆出了一个高危漏洞，只要windows程序读取一个精心制造的lnk文件（可以是U盘里的，也可以是网上下下来的，也可以是远程的，以U盘最为可能），并试图读取lnk文件的图标时，就会触发漏洞，允许执行任何程序。McAfee把此威胁定义为高危，详见http://vil.nai.com/vil/content/v_vul54023.htm，微软的官方说明是http://www.microsoft.com/technet/security/advisory/2286198.mspx。
但其实，只要McAfee设置好规则，这次的漏洞根本不会对我们的系统造成影响。我在之前的帖子里说，我自己的规则用的是“信任区”和“非信任区”的概念。见下图：


信任区是指电脑里你所允许可执行文件执行的区域，这些区域包括但不限于：Program Files（程序安装目录，几乎所有你所安装的程序都应该在这里），Windows（系统目录，不用多说），AppData（有一些程序也安装在这里，比如Google Chrome，权限比较低，但这个目录比较杂，也包含一些临时文件夹）

非信任区，不用多说，就是其他区域，这些区域里所有可执行文件都不允许执行。

信任区和非信任区中间有一道墙，这道墙就是我们用规则定义的，McAfee的默认规则已经给我们定义了两道，分别是Program Files和Windows，不过其排除的进程还是比较混乱，我们可以来整理整理，如下图：


这两个规则让任何程序不能将可执行文件写入这两个文件夹，从而人为创建了信任区，只有你信任某个程序，才会关掉访问保护安装它，这个程序的可执行文件才能写入信任区。

相应地，你也可以为其他你所信任的文件夹加上规则，比如AppData，有人可能会说IE的临时文件夹也在AppData里面，如果放入信任区会很危险，其实不用担心，我们专门对浏览器做禁止创建可执行文件的规则即可，这样，要想下载可执行文件，只有用下载工具，或者在确认文件无毒的情况下，关闭访问保护下载。

在确定了可信任区和非信任区以后，剩下的事情就是用规则限制非信任区里可执行文件的执行，如下图：

其中排除的进程里面，填上信任区目录即可，通配符可以省下很多事情。

我们现在来看看以上规则如何防御这次漏洞的吧：

1. 某个不怀好意的家伙把带毒的U盘插到了你的电脑里面，U盘里包含那个精心制作的lnk文件，还有一个exe病毒文件，其实自动运行与否不重要，反正你都要打开这个U盘的，你总不能插上U盘不用吧？

2. 可怜的电脑看到了lnk文件，读取了，尝试读取lnk文件的图标，触发了漏洞，攻击开始。explorer.exe（我猜的，应该是这个进程）尝试运行U盘上的exe病毒文件，读取成功，执行。

3. U盘上的exe病毒文件运行，尝试读取系统文件（在我的电脑上，任何程序执行首先要读取wow64.dll这个文件），支持其运行，触发McAfee规则，失败。

4. exe病毒文件如果侥幸过了上一关，便想把自己复制到电脑的关键区域，比如Windows目录，触发McAfee规则，失败。

5. exe病毒文件怒了，想终止McAfee的进程，把McAfee杀死，但是要想终止McAfee进程，首先要释放并加载驱动，触发McAfee规则，失败。

6. exe病毒吐血而亡，临死前大叫一声：“McAfee，汝误我大事矣！”

故事写完了，睡觉去。。。勿喷。。。


欢迎访问我的博客：http://www.alexyang.me

busihou

沙发
支持一下

ouquanwen

写的不错…

strawman0719

看了这两天新闻的可能都知道，Windows又爆出了一个高危漏洞，只要windows程序读取一个精心制造的lnk文件（可 ...
sandyyangjie 发表于 2010.7.18 01:09

技术文  支持一下

猫大叔

牛，哈哈。加油！！！

灰鹰

咖啡的规则定已经能将大部分病毒及恶意程序直接拒之门外，如果搭配HIP，基本上是铜墙铁壁了

Johnkay.Young

LZ的文章写得都挺不错，拜读了，希望继续保持技术交流。

chx_panda

写的太好了，思路很好，我是新手要达到还得好好学习哦

joip

l楼主来之长满油菜花的地方
我膜拜一下！

tdf55555

思想不错，省得混乱，支持下