「RLO」を含む日記

■標的型攻撃の訓練がうざい・・・

最近、会社で標的型攻撃の訓練が多くて非常にうざい。

• メール添付形式でのエクセルファイルを開くか
• メールで送られてきたURLを開くか？

で、両方引っかかった。

また、両者のセキュリティーリスクはさほど高くないと思ってる。

• エクセルの場合、問題なのはマクロの実行であって通常エクセルのマクロは実行時に確認が出るので、ファイルのオープン自体のリスクはそこまで高くない。
• URLオープンの場合、chrome最新版、flashの実行禁止等を知れていれば、リンクを開くことのリスクは低。なお、情報の入力のリスクは別。

のよう認識している。

自分の中で気を付けるべき行為だと思ってる行為としては、下記のような感じ。

• exe実行（RLO　拡張子偽装など含む）
• マクロ等を含むデーターファイルの取り扱い（主にoffice系ファイル）
• ソフトのパッチ、バージョン管理不備
• 情報入力を要求される場合、ドメイン、証明書状態の確認
  • 参照系はあまり気にしない。
• oauth等による認可
• スマホアプリの認可要求

他の人は、どの辺をリスクだと思って、何を気を付けているか気になった次第。

■補足

インテルcpuのデータ実行防止で、現状バッファーオーバーフロー的な問題は非常に起こりにくなっているのだろうか？

開いただけで任意コードを実行する画像ファイルを作れるか？

Permalink | 記事への反応(2) | 13:01

ツイートシェア

■

217 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2007/07/10(火) 13:49:40 ID:FXQEOZ3v0

Unicodeで拡張子を偽装された実行ファイルの防御方法

http://d.hatena.ne.jp/hasegawayosuke/20061222/p1

【偽装ファイル例】

[アニメ] ○×△ 第01話 (704x396 DivX651 MXTVEXE.avi　　　　　　　と画面上では表示されているけど・・

　　　　　　　　　　↓↓↓

[アニメ] ○×△ 第01話 (704x396 DivX651 MXTV(U+202E)avi.EXE　 本当は実行ファイル（＝ウィルスorトロイ）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ↑

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Unicode

223 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2007/07/10(火) 14:08:11 ID:uF6q4aE80

>>219

よく知らないけど、RLOを複数埋め込んで巧妙に隠すんだそうだ。

.EXEの.とEとXとEが見た目上並んでるとは限らないらしい。

228 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2007/07/10(火) 14:27:58 ID:3bMjMnB90

特定フォルダ内のexeファイルの実行の禁止方法

1. コントロールパネル＞管理ツール＞ローカルセキュリティポリシーを開く

2. ソフトウェア制限のポリシー＞追加の規則（無ければ新規作成する）を右クリック

3. 新しいパスの規則を選択

4. 参照を選択

5. 禁止したいフォルダを選択

6. セキュリティレベルが「許可しない」になっていることを確認して「OK」

Permalink | 記事への反応(0) | 20:15

ツイートシェア