[ホーム] >
[サイバー攻撃大辞典 トップ] > [RLO(Right-to-Left Override)| RLO 拡張子偽装]
作成日:2020/09/16
RLO(Right-to-Left Override)| RLO 拡張子偽装
RLO拡張子偽装とは、OSの文字設定表示を変更し拡張子を偽装し、ユーザに悪意のプログラムを実行させる攻撃手法。
RLO制御コード (U+202E) とはアラビア語など右から左に向け文字のための制御文字。これを悪用した拡張子偽装する。。
日本語の場合、通常は左から右に文字を表示するが、RLOの設定を行い逆に右から左に表示させる。
攻撃例
(1)「readmetxt.exe」という文字列をメモ帳で作成する。
(2)eとtの間にカーソルを移動する。
(3)メモ帳を右クリックし、「Unicode 制御文字の挿入」「RLO Start of Right-to-Left Override」を選択する。
文字列が「readmeexe.txt」と表示される。この文字列をコピーして、エクスプローラなどのファイル名変更でこの文字列をファイル名として使用する。
実際にはexeの拡張子だが、ユーザにはtxt拡張子として表示される。
対策
Windows 10 の場合、以下設定で 「RLO制御コード」をパスに含むプログラムの実行を禁止できる。
(RLOの使用を無効化ではなく、RLO制御コードをパスに含む場合、実行を禁止する設定。
(1)ローカルグループポリシエディタを起動
参考:グループポリシーエディタの起動方法
(2)コンピュータの構成→Windowsの設定→セキュリティの設定→ソフトウェアの制限ポリシー を選択する。
(3)右クリックして「新しい制限ポリシーの追加」を選択。
(4)「ソフトウェア制限のポリシー」「追加の規則」を選択する。
(5)「新しいパスの規則」を選択する。
(6)「パス」欄に「**」と入力する。
(7)「*」と「*」の間にカーソルを合わせ右クリックし、「Unicode 制御文字の挿入」「RLO Start of right-to-left override」を選択する。
(8)「セキュリティ レベル」で「許可しない」を設定する。
(9)[OK]をクリックする。
これでプログラム名に RLO が含まれるファイルを実行すると以下のエラーで実行が阻止されます。
ファイルにウィルスまたは望ましくない可能性のあるソフトウェアが含まれているため、捜査は正常に完了しませんでした。
Windows 7の場合、以下の設定で「RLO制御コード」をパスに含むプログラムの実行を禁止できる。
(1)管理ツールより「ローカルセキュリティポリシ」を実行する。
(2)「ソフトウェア制限のポリシー」「追加の規則」を選択する。
(*)「追加の規則」が見当たらない場合は、「ソフトウェア制限のポリシー」を右クリックし「すべてのタスク」「新しいソフトウェアの制限ポリシ」を実行して新規に作成する。
(3)右クリックし「すべてのタスク」「新しいパスの規則」を選択する。
(4)「パス」欄に「**」と入力する。
(5)「*」と「*」の間にカーソルを合わせ右クリックし、「Unicode 制御文字の挿入」「RLO Start of right-to-left override」を選択する。
(6)「セキュリティ レベル」で「許可しない」を設定する。
(7)[OK]をクリックする。
以上
[ホーム] >
[サイバー攻撃大辞典 トップ] > [RLO(Right-to-Left Override)| RLO 拡張子偽装]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020