Некоторые меры безопасности и практические приемы могут защитить от вредоносных исполняемых файлов.
Обзор
Вредоносный исполняемый код, также известный как вредоносная программа или вирус, стал более распространенным и может повлиять на пользователей AutoCAD и программ на основе AutoCAD. Если вредоносной программе позволить распространиться, это может привести к потере интеллектуальной собственности и снижению производительности.
Наиболее часто уязвимости возникают из-за того, что исполняемый код хранится вместе с данными (например, автоматически загруженными файлами AutoLISP в начальной папке). Начальная папка определяется атрибутом Start In, который задается ярлыком на рабочем столе, или местоположением файла запуска программы.
Более сложные атаки, которые подвергают риску или приводят к краже интеллектуальной собственности, включают вредоносные приложения ARX, адаптеры объектов и файлы DLL (библиотеки динамической связи). Угроза также может исходить от макроса VBA (Microsoft® Visual Basic® for Applications), встроенного в файлы DWG.
Например, проектные исполняемые файлы, объединенные с чертежами в файле ZIP, могут содержать измененные версии файлов acad.lsp, acaddoc.lsp, FAS и файлы VLX, содержащие вредоносные программы. Если содержимое файла ZIP извлекается в папку и AutoCAD запускается двойным щелчком по файлу DWG, файлы LSP также автоматически запускаются.
Кроме того, многие вирусы распространяются путем редактирования acad.mnl, добавляя в него строку для собственной загрузки.
Помимо исполняемых файлов, существует ряд других распространенных угроз, которые могут быть использованы для злоупотребления AutoCAD и программами на основе AutoCAD. К ним относятся:
- Подрывные сценарии, PGP и файлы CUIx. Всегда анализируйте такие файлы, полученные из внешних источников, перед их использованием, поскольку они могут содержать скрытое вредоносное ПО.
- Вредоносное ПО, внедренное во взломанные копии программ и нелицензионные надстройки. Люди, которые взламывают программное обеспечение, могут легко вставить дополнительный код или вредоносное ПО для кражи интеллектуальной собственности или превращения компьютера в зомби.
- Поврежденные файлы DWG, предназначенные для заполнения буферов исполняемым кодом. Это более сложные атаки, создаваемые для запуска поддельных данных чертежа в качестве кода. Команда по безопасности AutoCAD работает для предотвращения возможности переполнения буфера в AutoCAD и AutoCAD LT. При работе с важными проектными данными открывайте файлы чертежей только из доверенных источников.
- Внедрение двоичного кода. Эта категория включает вставку поддельных двоичных файлы, таких как EXE, DLL и COM, для замены настоящих файлов. Для внедрения таких файлов на компьютер или в сеть требуются права, которые могут быть получены, если используются разрешения для незащищенных папок или приложение запущено в режиме работы администратора.
Уязвимые файлы
Вредоносный код можно обнаружить в следующих типах файлов:
- файлы ARX, DBX, CRX, HDI
- файлы LSP, FAS, VLX, MNL, SCR
- сборки .NET
- макросы VBA (файлы DVB)
- acad.rx
- JavaScript
- файлы DLL
Меры обеспечения безопасности
Меры обеспечения безопасности AutoCAD сводят к минимуму возможность выполнения вредоносного кода, обеспечивая управление, которое
- Укажите одну или несколько доверенных папок для исполняемых файлов. Системная переменная TRUSTEDPATHS, присваиваемая доверенным расположениям, обеспечивает постоянный контроль над папками, в которых хранятся исполняемые файлы. Рекомендуется делать эти папки доступными только для чтения. Эти расположения можно заблокировать в CAD Manager.
- Ограничивает доступ к файлам acad<выпуск>.lsp и acad<выпуск>doc.lsp и их последующим элементам, позволяя им загружаться только из папок установки по умолчанию: <папка установки>\Support и <папка установки>\Support\<язык> соответственно.
- Ограничивает загрузку приложений AutoLISP и VBA в текущем сеансе AutoCAD, включая все файлы LSP, FAS или VLX, а также acad.dvb. Поведение загрузки контролируется системной переменной SECURELOAD.
- Во избежание случайного обнаружения и загрузки исполняемых файлов из начальной папки и папок чертежей не изменяйте изначально присвоенное системной переменной LEGACYCODESEARCH значение 0.
- Обеспечивает процесс очистки после атаки, полностью отключая исполняемый код при запуске программы. Эта возможность управляется переключателем запуска /safemode и отражается в системной переменной SAFEMODE только для чтения. Переключатель /safemode позволяет безопасно запустить программу для изменения системных переменных SECURELOAD и TRUSTEDPATHS.
- Блокирует следующие системные переменные с помощью Диспетчера Интернет-компонентов: LEGACYCODESEARCH, SECURELOAD и TRUSTEDPATHS.
- Автоматически устанавливает уровень безопасности, управляя несколькими описанными здесь системными переменными с помощью команды БЕЗОПНАСТР.
Рекомендации
Следующие практические советы сводят к минимуму уязвимость в отношении вредоносного исполняемого кода.
- Устанавливайте AutoCAD в папку программных файлов по умолчанию с включенной функцией контроля учетных записей (UAC). Не запускайте AutoCAD в режиме работы администратора.
- Создавайте определения для вирусов. Все ведущие антивирусные решения способны обнаруживать и устранять результаты действия вирусов в AutoCAD.
- При установке сторонних приложений, включающих файлы ARX, DBX, CRX, HDI и DLL, убедитесь в том, что установленные файлы подписаны цифровой подписью, сертифицированной заслуживающим доверия источником, например VeriSign.
- Никогда не запускайте неизвестный файл AutoLISP или макрос VBA без предварительного просмотра кода.
- Никогда не запускайте неизвестный файл сценария без проверки.
- Храните исполняемый код в отдельных от данных папках.
- Храните исполняемый код в доверенных расположениях, доступных только для чтения.
- Размещайте файлы адаптации CUIx AutoCAD в доверенных расположениях, доступных только для чтения.
- Задавайте системной переменной SECURELOAD значение 1 или 2, чтобы предотвратить выполнение несанкционированного кода в AutoCAD. Этот параметр также можно изменить в диалоговом окне "Параметры"
вкладка "Система" "Параметры исполняемого файла" (кнопка) или с помощью Мастера развертывания.
- Задавайте системной переменной TRUSTEDPATHS уникальные папки только для чтения, которым можно доверять. Пути C:\Program Files\ и C:\Program Files (x86), а также все вложенные папки автоматически считаются доверенными. Эти пути также можно задать в Мастере развертывания.