我们将探讨攻击者可以隐藏在媒体或视频文件(如 WMV 文件)中发起攻击和下载恶意软件的威胁类型。此外,我们还将探讨如何通过OPSWAT 技术来检测、预防和分析基于文件的威胁,从而降低这些攻击的风险。
目录
- 视频文件攻击技术
- 打开视频文件如何触发恶意软件下载
- 如何利用Deep Content Disarm and Reconstruction 技术删除恶意对象
- 如何利用Adaptive 威胁分析检测和发现规避性恶意软件
- OPSWAT Advanced Threat Detection 和预防
视频文件攻击技术
几年前,我们发表过一篇博文,强调了视频文件的风险以及攻击者如何利用它们来传播恶意软件。我们讨论了两种策略:漏洞利用和滥用合法功能。
利用漏洞
文件类型验证验证文件类型。我们不能相信定义文件类型的 Content-Type 标头或扩展名,因为它们可能被伪造。遗憾的是,许多媒体播放器并没有严格验证视频文件的结构,从而导致了一些可被利用的漏洞。
例如,VLCMedia Player 3.0.11 中的CVE-2021-25801允许攻击者通过伪造的 AVI 文件导致越界读取,从缓冲区读取预定边界之外的数据,导致崩溃、不正确的程序行为或敏感信息泄露。VideoLAN VLC 媒体播放器 3.0.7.1 中的CVE-2019-14553可导致使用后免用漏洞--一种内存损坏漏洞,在该漏洞中,应用程序会尝试使用释放的内存,从而导致崩溃、意外结果或执行恶意有效载荷。
滥用合法功能
另一种攻击技术是滥用合法媒体播放器功能,通过视频传播恶意软件。例如,攻击者可以利用 WindowsMedia Player 的脚本命令功能,在视频的超链接中嵌入恶意软件。
打开视频文件如何触发恶意软件下载
下面的演示展示了受害者如何通过打开视频文件无意中在设备上下载恶意软件。
该技术演示了攻击者如何滥用合法功能作为攻击载体。脚本命令是 WindowsMedia Player 的一项基本功能,它允许媒体播放器在播放文件时与浏览器交互,以下载视频编解码器或跟踪。尽管脚本命令有被利用的可能,但它仍是 WindowMedia Player 的一项基本功能。WMV 视频文件基于微软高阶系统格式(ASF)容器格式,并使用 WindowsMedia 压缩。ASF 可包含一个脚本命令对象,用于流式传输文本并提供可控制客户端环境中元素的命令。
ASF 允许使用简单的脚本命令,如 URLANDEXIT,该命令执行时会在默认浏览器中自动启动视频文件中嵌入的 URL。威胁者利用这一功能促使受害者下载伪装成播放媒体所需的插件、更新或编解码器的恶意文件,并入侵用户系统。
在这个例子中,攻击者在合法媒体文件中插入了一个恶意 URL。
我们可以使用十六进制阅读器应用程序查看 URL:
如何利用Deep Content Disarm and Reconstruction 技术删除恶意对象
深度CDR™技术(内容解除武装与重建)将每个文件视为潜在威胁。该技术通过处理和分析文件,移除未经批准的对象,确保进入组织的文件均可安全使用。同时,深度CDR™技术会重建文件内容以保持完整功能,使用户无需下载恶意软件即可观看视频。
用 MetaDefender Core检测文件中的 URLANDEXIT 命令。
Deep CDR™ 技术可清除 URLANDEXIT 对象及脚本命令对象。经重建的新文件仍可完全正常使用。攻击者将无法下载恶意软件。
如何利用Adaptive 威胁分析检测和发现规避性恶意软件
我们可以使用MetaDefender 沙箱自适应威胁分析引擎扫描该文件,以深入探究恶意软件的行为和能力。
MetaDefender 新一代沙箱解决方案,通过自适应威胁分析技术,实现零日恶意软件检测、更全面的入侵指标(IOC)提取以及可操作的威胁情报。
通过运用Deep CDR™Filescan对WMV文件进行处理,我们获得了更深入的威胁洞察。Filescan 从URLANDEXITFilescan 该文件并执行静态分析,从而提供有关恶意软件行为、战术、技术及IOC指标的更详细信息。
OPSWAT Advanced Threat Detection 和预防
OPSWAT 技术可保护应用程序、网络和设备免受零日攻击、隐蔽恶意软件及高级定向攻击的侵害。除媒体文件外,Deep CDR™技术还能递归扫描并净化130多种文件类型,包括嵌套存档、电子邮件附件、嵌入式文档和超链接等复杂文件。重建后的文件仍可完全正常使用。
联系我们的技术专家,了解更多关于Deep CDR™技术、Filescan威胁防御技术的信息。
