Publicado originalmente a 17 de fevereiro de 2014.
Os ficheiros de vídeo não são normalmente considerados como tipos de ficheiros potencialmente maliciosos ou infectados, mas é possível que o malware seja incorporado ou disfarçado como um ficheiro de vídeo. Devido a este equívoco comum, os ficheiros de áudio e ficheiros de áudio e vídeo são intrigantes vectores de ameaça para os criadores de malware.
Porquê a preocupação com os ficheiros de vídeo?
- Media Os leitores de música são software frequentemente utilizado, os utilizadores tendem a utilizá-los durante um longo período de tempo, deixando-os abertos durante outras tarefas e mudam frequentemente de fluxos de multimédia.
- São encontradas muitas vulnerabilidades nos leitores multimédia. O NIST [1] apresenta mais de 1200 vulnerabilidades de 2000 a 2014 [2]. No início de 2020, o NIST registou uma nova vulnerabilidade de elevada gravidade, CVE-2020-0002, no Android Media Framework.
- Conteúdos de vídeo atractivos e Internet de alta velocidade levam os utilizadores a descarregar e partilhar sem prestar atenção e, como estes ficheiros são considerados relativamente inofensivos, é provável que os utilizadores reproduzam os ficheiros que lhes são dados.
- Os formatos de ficheiro envolvidos são fluxos binários e tendem a ser razoavelmente complexos. É necessária muita análise para manipulá-los, e os cálculos de reprodução podem facilmente resultar em bugs de inteiros.
- O ficheiro é normalmente grande; é provável que os utilizadores ignorem as soluções de verificação para evitar o impacto no desempenho.
- São vistos como relativamente inofensivos - é provável que os utilizadores reproduzam os ficheiros que lhes são fornecidos.
- Existe uma grande variedade de leitores de áudio diferentes e muitos codecs e plugins de ficheiros áudio diferentes, todos escritos por pessoas que geralmente não se preocupam com a segurança.
- Os utilizadores descarregam vídeos de muitas fontes não fiáveis, e os vídeos são executados com privilégios e prioridades bastante elevados. Por exemplo, no Windows Vista, uma instância do Internet Explorer com privilégios baixos pode lançar conteúdo num Windows Media Player com privilégios mais elevados.
- Os vídeos são frequentemente invocados sem o reconhecimento explícito do utilizador (ou seja, incorporados numa página Web) [3].
Vectores de vulnerabilidade típicos
Fuzzing o leitor multimédia através de um ficheiro de vídeo modificado
O fuzzing é um método genérico para forçar um programa a comportar-se de forma inesperada, fornecendo dados inválidos, inesperados ou aleatórios ou aleatórios às entradas.
O fuzzing foi concebido para encontrar erros profundos e é utilizado pelos programadores para garantir a robustez do código. melhor ferramenta de um programador pode também ser utilizada para explorar o utilizador. Para os leitores multimédia, que são supostamente "rigorosos quanto ao formato strict", um ficheiro de vídeo real corrompido pode expor muitos erros, a maioria dos quais causados pela desreferência a ponteiros nulos. Isto resulta Isto resulta num acesso inadequado à memória, que oferece a possibilidade de escrever na memória algo que não se pretende ser escrito [4]. Felizmente, a fuzificação de leitores multimédia requer um conhecimento profundo do formato do ficheiro, caso contrário o ficheiro ficheiro corrompido, será simplesmente ignorado pelo leitor.
Incorporar hiperligações num ficheiro de vídeo
Um método mais direto é obtido através da incorporação de um URL em ficheiros multimédia modernos.
Por exemplo, o Microsoft Advanced System Format (ASF) permite a execução de comandos de script simples. Neste caso, "URLANDEXIT" é colocado num endereço específico e a seguir a qualquer URL. Quando este código é executado, o utilizador é direcionado para para descarregar um ficheiro executável, muitas vezes disfarçado de codec e pedindo ao utilizador que o descarregue para reproduzir o media.
MetaDefender Cloud, a ferramenta de análise múltipla anti-malware da OPSWAT, tem um exemplo de um desses ficheiros:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
O nome da ameaça é "GetCodec". Neste exemplo, o leitor multimédia foi redireccionado para um link para descarregar um trojan. Veja o trojan analisado aqui.
Exemplos de explorações de tipos de ficheiros
Abaixo está uma tabela que lista os formatos populares de ficheiros multimédia que foram explorados através do encaminhamento do utilizador para sites maliciosos sites maliciosos ou executando códigos arbitrários remotamente nos sistemas dos utilizadores-alvo.
| Formato do ficheiro | Deteção | Descrição |
| Windows .wma/.wmv | Downloader-UA.b | Explora uma falha na gestão de direitos digitais |
| Real Media .rmvb | W32/Realor.worm | Infecta ficheiros Real Media para incorporar ligações a sites maliciosos |
| Real Media .rm/.rmvb | Artesanato humano | Lança páginas Web maliciosas sem ser solicitado |
| QucikTime.mov | Artesanato humano | Lança hiperligações incorporadas para sítios pornográficos |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnerabilidade na etiqueta DefineSceneAndFrameLabelData |
| Windows.asf | W32/GetCodec.worm | Infecta ficheiros .asf para incorporar ligações a páginas web maliciosas |
| Adobe Flash.swf | Exploit-SWF.c | Vulnerabilidade no código de operação "nova função" do AVM2 |
| QuickTime.mov | Artesanato humano | Executa código arbitrário no sistema do utilizador alvo |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnerabilidade na Máquina Virtual ActionScript 2 |
| Adobe Flash.swf | Exploração-CVE2010-3654 | Vulnerabilidade na classe de botão MultiName do AVM2 |
| Windows .wmv | Exploração CVE-2013-3127 | Vulnerabilidade de execução remota de código do descodificador de vídeo WMV |
| Vídeo Matroska .mkv | Exploit-CVE2019-14438 | Vulnerabilidade no VLC, executa código arbitrário com privilégios no sistema do utilizador alvo |
Soluções
Muitos fornecedores de anti-malware adicionaram agora a deteção através da procura de assinaturas de URL dentro de ficheiros do tipo media. OPSWAT
MetaDefender Multiscanning A tecnologia da Microsoft utiliza mais de 35 motores anti-malware e melhora significativamente a deteção de
ameaças conhecidas e desconhecidas. Deep CDR também suporta formatos de ficheiros de vídeo e áudio e pode ajudar a prevenir ataques de Dia Zero
dia zero. MetaDefender's file-based vulnerability assessment pode detetar vulnerabilidades nos instaladores de leitores multimédia
antes de serem instalados.
Se não tiver OPSWAT Solutions, tem de prestar mais atenção aos ficheiros multimédia, não ver ficheiros não confiáveis, nunca executar leitores multimédia com privilégios elevados e não aceitar transferências de codecs desconhecidos ou licenças estranhas. Mantenha sempre manter o software do leitor multimédia atualizado para evitar vulnerabilidades.
Referências
[1]Base de dados nacional sobre vulnerabilidade.
[2]Killer Music: Hackers exploram as vulnerabilidades do Media Player.
[3]David Thiel. "Expondo Vulnerabilidades emSoftware Media ".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Usando Dados Aleatórios Estruturados para Fuzzificar com Precisão Media jogadores".
