我们将探讨攻击者可以隐藏在媒体或视频文件(如 WMV 文件)中发起攻击和下载恶意软件的威胁类型。此外,我们还将探讨如何通过OPSWAT 技术来检测、预防和分析基于文件的威胁,从而降低这些攻击的风险。
目录
- 视频文件攻击技术
- 打开视频文件如何触发恶意软件下载
- 如何利用Deep Content Disarm and Reconstruction 技术删除恶意对象
- 如何利用Adaptive 威胁分析检测和发现规避性恶意软件
- OPSWAT Advanced Threat Detection 和预防
视频文件攻击技术
几年前,我们发表过一篇博文,强调了视频文件的风险以及攻击者如何利用它们来传播恶意软件。我们讨论了两种策略:漏洞利用和滥用合法功能。
利用漏洞
文件类型验证验证文件类型。我们不能相信定义文件类型的 Content-Type 标头或扩展名,因为它们可能被伪造。遗憾的是,许多媒体播放器并没有严格验证视频文件的结构,从而导致了一些可被利用的漏洞。
例如,VLCMedia Player 3.0.11 中的CVE-2021-25801允许攻击者通过伪造的 AVI 文件导致越界读取,从缓冲区读取预定边界之外的数据,导致崩溃、不正确的程序行为或敏感信息泄露。VideoLAN VLC 媒体播放器 3.0.7.1 中的CVE-2019-14553可导致使用后免用漏洞--一种内存损坏漏洞,在该漏洞中,应用程序会尝试使用释放的内存,从而导致崩溃、意外结果或执行恶意有效载荷。
滥用合法功能
另一种攻击技术是滥用合法媒体播放器功能,通过视频传播恶意软件。例如,攻击者可以利用 WindowsMedia Player 的脚本命令功能,在视频的超链接中嵌入恶意软件。
打开视频文件如何触发恶意软件下载
下面的演示展示了受害者如何通过打开视频文件无意中在设备上下载恶意软件。
该技术演示了攻击者如何滥用合法功能作为攻击载体。脚本命令是 WindowsMedia Player 的一项基本功能,它允许媒体播放器在播放文件时与浏览器交互,以下载视频编解码器或跟踪。尽管脚本命令有被利用的可能,但它仍是 WindowMedia Player 的一项基本功能。WMV 视频文件基于微软高阶系统格式(ASF)容器格式,并使用 WindowsMedia 压缩。ASF 可包含一个脚本命令对象,用于流式传输文本并提供可控制客户端环境中元素的命令。
ASF 允许使用简单的脚本命令,如 URLANDEXIT,该命令执行时会在默认浏览器中自动启动视频文件中嵌入的 URL。威胁者利用这一功能促使受害者下载伪装成播放媒体所需的插件、更新或编解码器的恶意文件,并入侵用户系统。
在这个例子中,攻击者在合法媒体文件中插入了一个恶意 URL。
我们可以使用十六进制阅读器应用程序查看 URL:
如何利用Deep Content Disarm and Reconstruction 技术删除恶意对象
Deep CDR(内容解除和重构)将每个文件都视为潜在威胁。它能处理和分析文件,删除未经批准的对象,确保进入企业的所有文件都能安全使用。同时,Deep CDR 还能重建文件内容,使其具有完整的功能,这样用户就能在不下载恶意软件的情况下观看视频。
用 MetaDefender Core检测文件中的 URLANDEXIT 命令。
Deep CDR 删除 URLANDEXIT 对象和脚本命令对象。重建后的新文件仍然完全可用。攻击者无法下载恶意软件。
如何利用Adaptive 威胁分析检测和发现规避性恶意软件
我们可以使用MetaDefender Sandbox 沙盒自适应威胁分析引擎扫描文件,深入研究恶意软件的行为和功能。
MetaDefender Sandbox它是下一代沙箱,利用自适应威胁分析,可实现零时差恶意软件检测、更多 "出错指标"(IOC)提取以及可操作的威胁情报 。
通过Deep CDR 和Filescan 处理 WMV 文件,我们可以更深入地了解威胁。Filescan 从 URLANDEXIT 下载文件并执行静态分析,以提供有关恶意软件行为、战术、技术和 IOC 的更多细节。
OPSWAT Advanced Threat Detection 和预防
OPSWAT Deep CDR 的先进技术可保护应用程序、网络和设备免受零日攻击、规避性恶意软件和高阶定向攻击。除媒体文件外,Deep CDR 还能递归扫描和净化 130 多种文件类型,包括嵌套档案、电子邮件附件、嵌入式文档和超链接等复杂文件类型。重建后的文件仍可完全使用并正常运行。
请联系我们的技术专家,了解有关Deep CDR 、Filescan 和其他威胁防御技术的更多信息。
