最初发布于 2014 年 2 月 17 日。
视频文件通常不被认为是潜在的恶意或受感染文件类型,但有可能被嵌入或伪装成视频文件。 恶意软件有可能嵌入或伪装成视频文件。由于这种常见的误解,音频和 视频文件对于恶意软件编写者来说是一个非常有趣的威胁载体。
为什么关注视频文件?
- Media 播放器是经常使用的软件,用户往往会长时间使用,在执行其他任务时也会打开播放器。 在执行其他任务时打开,并频繁切换媒体流。
- 在媒体播放器中发现了许多漏洞。NIST[1]显示,从 2000 年到 2014 年[2],媒体播放器中存在 1200 多个漏洞。 2014[2].2020 年初,NIST 在 AndroidMedia 框架。
- 吸引人的视频内容和高速互联网导致用户不加注意地下载和分享,由于这些文件被认为相对无害,用户很可能会播放别人给他们的文件。
- 所涉及的文件格式是二进制流,往往相当复杂。需要进行大量的解析 回放计算很容易导致整数错误。
- 该文件通常较大;用户可能会跳过扫描解决方案,以避免对性能造成影响。
- 它们被认为是相对无害的--用户很可能会播放给他们的文件。
- 有各种各样的音频播放器和许多不同的编解码器和音频文件插件,这些都是 都是由一般不注重安全的人编写的。
- 用户从许多不可靠的来源下载视频,而这些视频的运行权限和优先级都相当高。 例如,在 Windows Vista 中,低权限的 Internet Explorer 实例可以在高权限的 Windows 播放器中启动内容。 Media 播放器中启动内容。
- 视频经常在未经用户明确确认的情况下被调用(即嵌入网页中)[3]。
典型漏洞载体
通过修改视频文件对媒体播放器进行模糊测试
模糊测试是一种通用方法,通过向输入端提供无效、意外或随机数据,迫使程序出现意外行为。 数据,从而迫使程序出现意外行为。
模糊测试旨在发现深层次的漏洞,开发人员使用它来确保代码的健壮性,然而,开发人员最好的工具也可以用来利用用户。 然而,开发人员的最佳工具也可能被用来利用用户。对于所谓 "格式严格 "的媒体播放器来说 严格 "的媒体播放器来说,一个损坏的真实视频文件可能会暴露出许多错误,其中大部分都是由取消引用空指针引起的。这导致 不适当的内存访问,从而有可能向内存中写入本不打算写入的内容[4]。 写入内存[4]。幸运的是,对媒体播放器进行模糊处理需要对文件格式有深入的了解,否则被破坏的文件 损坏的文件会被播放器直接忽略。
在视频文件中嵌入超链接
更直接的方法是在现代媒体文件中嵌入 URL。
例如,微软高阶系统格式(ASF)允许执行简单的脚本命令。在这种情况下 "URLANDEXIT "被放置在特定地址和任何 URL 之后。执行该代码时,用户会被引导到 下载一个可执行文件,通常伪装成编解码器,提示用户下载后才能播放媒体。 媒体。
OPSWAT 的反恶意软件多重扫描工具MetaDefender Cloud 有这样一个文件示例:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information。
威胁名称为 "GetCodec"。在本例中,媒体播放器被重定向到一个下载木马的链接。查看 已扫描的木马。
文件类型漏洞实例
下表列出了已被利用的流行媒体文件格式,这些格式可将用户导向恶意网站或在目标用户系统上远程执行任意代码。 或在目标用户系统上远程执行任意代码。
| 文件格式 | 检测 | 说明 |
| Windows .wma/.wmv | 下载器-UA.b | 利用数字版权管理漏洞 |
| RealMedia .rmvb | W32/Realor.worm | 感染 RealMedia 文件,嵌入指向恶意网站的链接 |
| RealMedia .rm/.rmvb | 人类精心制作 | 无需提示即可启动恶意网页 |
| QucikTime.mov | 人类精心制作 | 推出指向色情网站的嵌入式超链接 |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | DefineSceneAndFrameLabelData 标签中的漏洞 |
| Windows.asf | W32/GetCodec.worm | 感染 .asf 文件,嵌入指向恶意网页的链接 |
| Adobe Flash.swf | Exploit-SWF.c | AVM2 "新函数 "操作码中的漏洞 |
| QuickTime.mov | 人类精心制作 | 在目标用户系统上执行任意代码 |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | ActionScript 虚拟机 2 中的漏洞 |
| Adobe Flash.swf | 漏洞-CVE2010-3654 | AVM2 多名称按钮类中的漏洞 |
| Windows .wmv | 利用 CVE-2013-3127 | WMV 视频解码器远程代码执行漏洞 |
| Matroska 视频 .mkv | Exploit-CVE2019-14438 | VLC 存在漏洞,可在目标用户系统上以权限执行任意代码 |
解决方案
现在,许多反恶意软件供应商通过查找媒体类型文件中的 URL 签名来增加检测功能。OPSWAT
MetaDefender Multiscanning该技术利用了 35 个以上的反恶意软件引擎,大大提高了对已知和未知威胁的检测能力。
已知和未知威胁。 Deep CDR还支持视频和音频文件格式,有助于防止零日
攻击。MetaDefender's file-based vulnerability assessment技术可以在媒体播放器
安装程序中的漏洞。
如果您没有OPSWAT 解决方案,则需要对媒体文件多加注意,不要查看不受信任的文件,永远不要以提升的权限运行媒体播放器,也不要接受未知编解码器或奇怪许可证的下载。 运行媒体播放器,不接受未知编解码器或奇怪许可证的下载。始终 保持媒体播放器软件最新,以避免漏洞。
参考资料
[1]National Vulnerability Database.
[2]Killer Music: Hackers ExploitMedia Player Vulnerabilities.
[3]David Thiel."暴露Media 软件中的漏洞》。
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton."使用结构化随机数据精确模糊 Media 玩家"。
