Pubblicato originariamente il 17 febbraio 2014.
I file video non sono tipicamente considerati come tipi di file potenzialmente dannosi o infetti, ma è possibile che il malware sia incorporato o camuffato in un file video. che il malware sia incorporato o camuffato in un file video. A causa di questo malinteso comune, i file audio e file audio e video sono vettori di minacce interessanti per gli autori di malware.
Perché questa preoccupazione per i file video?
- Media I lettori sono software di uso frequente, gli utenti tendono a usarli per un periodo di tempo prolungato, lasciandoli aperti durante altre attività e cambiando frequentemente i flussi multimediali. aperti durante altre attività e a cambiare frequentemente i flussi multimediali.
- Molte vulnerabilità sono state riscontrate nei lettori multimediali. Il NIST [1] mostra più di 1.200 vulnerabilità dal 2000 al 2014 [2]. All'inizio del 2020, il NIST ha registrato una nuova vulnerabilità ad alta gravità, CVE-2020-0002, in Android Media Framework.
- I contenuti video attraenti e l'alta velocità di Internet inducono gli utenti a scaricare e condividere senza prestare attenzione e, poiché questi file sono percepiti come relativamente innocui, è probabile che gli utenti riproducano i file che vengono loro forniti.
- I formati di file coinvolti sono flussi binari e tendono a essere ragionevolmente complessi. Per manipolarli è necessario effettuare per manipolarli e i calcoli di riproduzione possono facilmente dare origine a bug interi.
- Il file è solitamente di grandi dimensioni; è probabile che gli utenti saltino le soluzioni di scansione per evitare l'impatto sulle prestazioni.
- Sono percepiti come relativamente innocui: è probabile che gli utenti riproducano i file che vengono loro forniti.
- Esiste un'ampia varietà di lettori audio e molti codec e plugin di file audio, tutti scritti da persone non attente alla sicurezza. scritti da persone generalmente non attente alla sicurezza.
- Gli utenti scaricano video da molte fonti inaffidabili e i video vengono eseguiti con privilegi e priorità piuttosto elevati. Ad esempio, in Windows Vista, un'istanza di Internet Explorer con un privilegio basso può avviare contenuti in un Windows Media Player con un privilegio più alto.
- I video sono spesso invocati senza che l'utente ne sia esplicitamente consapevole (ad esempio, incorporati in una pagina web) [3].
Vettori di vulnerabilità tipici
Fuzzing del lettore multimediale tramite un file video modificato
Il fuzzing è un metodo generico per forzare un programma a comportarsi in modo inaspettato fornendo dati non validi, inaspettati o casuali agli ingressi. dati casuali agli ingressi.
Il fuzzing è progettato per trovare bug profondi ed è utilizzato dagli sviluppatori per garantire la robustezza del codice. strumento migliore per lo sviluppatore può essere utilizzato anche per sfruttare l'utente. Per i lettori multimediali, che sono presumibilmente "format un file video reale danneggiato può rivelare molti bug, la maggior parte dei quali causati dalla dereferenziazione di puntatori nulli. Questo comporta accesso inappropriato alla memoria, che offre la possibilità di scrivere in memoria qualcosa che non è destinato ad essere essere scritto [4]. Fortunatamente, il fuzzing dei lettori multimediali richiede una conoscenza approfondita del formato del file, altrimenti il file corrotto sarà semplicemente file corrotto verrà semplicemente ignorato dal lettore.
Inclusione di collegamenti ipertestuali in un file video
Un metodo più diretto si ottiene incorporando un URL nei moderni file multimediali.
Ad esempio, Microsoft Advanced System Format (ASF) consente di eseguire semplici comandi di script. In questo caso, "URLANDEXIT" viene inserito a un indirizzo specifico e dopo qualsiasi URL. Quando questo codice viene eseguito, l'utente viene indirizzato a un file eseguibile, spesso mascherato da codec, che l'utente deve scaricare per poter riprodurre il file multimediale. media.
MetaDefender Cloud, lo strumento di multi-scansione anti-malware di OPSWAT, ha un esempio di uno di questi file:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
Il nome della minaccia è "GetCodec". In questo esempio, il lettore multimediale è stato reindirizzato a un link per scaricare un trojan. Vedere il trojan analizzato qui.
Esempi di exploit del tipo di file
Di seguito è riportata una tabella che elenca i formati di file multimediali più diffusi che sono stati sfruttati indirizzando l'utente a siti dannosi o eseguendo codici arbitrari in remoto sui sistemi degli utenti target. siti dannosi o eseguendo codici arbitrari in remoto sui sistemi degli utenti.
| Formato del file | Rilevamento | Descrizione |
| Windows .wma/.wmv | Downloader-UA.b | Sfrutta una falla nella gestione dei diritti digitali |
| Real Media .rmvb | W32/Realor.worm | Infetta i file Real Media per incorporare il link a siti dannosi |
| Real Media .rm/.rmvb | Artigianato umano | Lancia pagine web dannose senza alcun prompt |
| QucikTime.mov | Artigianato umano | Lancia collegamenti ipertestuali incorporati a siti pornografici |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnerabilità nel tag DefineSceneAndFrameLabelData |
| Windows.asf | W32/GetCodec.worm | Infetta i file .asf per incorporare link a pagine web dannose |
| Adobe Flash.swf | Exploit-SWF.c | Vulnerabilità nell'opcode "nuova funzione" di AVM2 |
| QuickTime.mov | Artigianato umano | Esegue codice arbitrario sul sistema dell'utente di destinazione. |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnerabilità in ActionScript Virtual Machine 2 |
| Adobe Flash.swf | Exploit-CVE2010-3654 | Vulnerabilità nella classe di pulsanti AVM2 MultiName |
| Windows .wmv | Exploit CVE-2013-3127 | Vulnerabilità del decodificatore video WMV per l'esecuzione di codice remoto |
| Video Matroska .mkv | Exploit-CVE2019-14438 | Vulnerabilità in VLC, esegue codice arbitrario con privilegi sul sistema dell'utente target |
Soluzioni
Molti fornitori di antimalware hanno aggiunto il rilevamento attraverso la ricerca delle firme URL all'interno dei file di tipo multimediale. OPSWAT
MetaDefender Multiscanning La tecnologia sfrutta più di 35 motori anti-malware e migliora in modo significativo il rilevamento di
minacce note e sconosciute. Deep CDR supporta anche i formati di file video e audio e può aiutare a prevenire gli attacchi Zero Day.
attacchi Zero Day. MetaDefender's file-based vulnerability assessment tecnologia è in grado di rilevare le vulnerabilità nei programmi di
prima che vengano installati.
Se non si dispone di OPSWAT Solutions, è necessario prestare maggiore attenzione ai file multimediali, non visualizzare file non attendibili, non eseguire mai lettori multimediali con privilegi elevati e non accettare download di codec sconosciuti o licenze strane. non eseguire mai lettori multimediali con privilegi elevati e non accettare il download di codec sconosciuti o di strane licenze. Mantenere sempre mantenere aggiornato il software del lettore multimediale per evitare vulnerabilità.
Riferimenti
[1]Database nazionale delle vulnerabilità.
[2]Musica assassina: gli hacker sfruttano le vulnerabilità del lettore Media .
[3]David Thiel. "Esporre le vulnerabilità delSoftware Media ".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Utilizzo di dati casuali strutturati per individuare con precisione i giocatori". Media giocatori".
