Chúng tôi sẽ khám phá các loại mối đe dọa mà kẻ tấn công có thể ẩn trong các tệp phương tiện hoặc video, chẳng hạn như tệp WMV, để khởi chạy các cuộc tấn công và tải xuống phần mềm độc hại. Ngoài ra, chúng tôi xem xét cách giảm nguy cơ của các cuộc tấn công này với Công nghệ OPSWAT bằng cách phát hiện, ngăn chặn và phân tích các mối đe dọa dựa trên tệp.
Mục lục:
- Kỹ thuật tấn công tệp video
- Cách mở tệp video có thể kích hoạt tải xuống phần mềm độc hại
- Làm thế nào để loại bỏ các đối tượng độc hại với Deep Content Disarm and Reconstruction Công nghệ
- Cách phát hiện và khám phá phần mềm độc hại ẩn núp với Adaptive Phân tích mối đe dọa
- OPSWAT Advanced Threat Detection và Phòng ngừa
Kỹ thuật tấn công tệp video
Một vài năm trước, chúng tôi đã xuất bản một bài đăng trên blog nêu bật những rủi ro của các tệp video và cách kẻ tấn công sử dụng chúng để phát tán phần mềm độc hại. Chúng tôi đã thảo luận về hai chiến thuật: khai thác lỗ hổng và lạm dụng các tính năng hợp pháp.
Khai thác lỗ hổng bảo mật
Xác minh loại tệp xác thực loại tệp. Chúng tôi không thể tin tưởng tiêu đề Content-Type hoặc tên tiện ích mở rộng xác định loại tệp, vì chúng có thể bị giả mạo. Thật không may, nhiều trình phát đa phương tiện không xác minh nghiêm ngặt cấu trúc của các tệp video, dẫn đến một số lỗ hổng có thể khai thác.
Ví dụ: VLC Media Người chơi 3.0.11 có CVE-2021-25801 cho phép kẻ tấn công gây ra việc đọc ngoài giới hạn thông qua tệp AVI được tạo thủ công, đọc dữ liệu từ bộ đệm bên ngoài ranh giới dự định của nó, gây ra sự cố, hành vi chương trình không chính xác hoặc tiết lộ thông tin nhạy cảm. CVE-2019-14553 trong VideoLAN VLC media player 3.0.7.1 có thể gây ra lỗ hổng sử dụng sau khi miễn phí — một loại lỗ hổng hỏng bộ nhớ trong đó ứng dụng cố gắng sử dụng bộ nhớ được giải phóng, dẫn đến sự cố, kết quả không mong muốn hoặc thực thi tải trọng độc hại.
Lạm dụng một tính năng hợp pháp
Một kỹ thuật tấn công khác lạm dụng tính năng trình phát đa phương tiện hợp pháp để phát tán phần mềm độc hại thông qua video. Ví dụ: kẻ tấn công có thể khai thác tính năng Script Command trong Windows Media Trình phát bằng cách nhúng phần mềm độc hại vào siêu liên kết trong video.
Cách mở tệp video có thể kích hoạt tải xuống phần mềm độc hại
Bản demo dưới đây cho thấy cách nạn nhân có thể vô tình tải xuống phần mềm độc hại trên thiết bị của họ bằng cách mở tệp video.
Kỹ thuật này cho thấy cách kẻ tấn công lạm dụng một tính năng hợp pháp như một vectơ tấn công. Script Command là một tính năng thiết yếu của Windows Media Trình phát — nó cho phép trình phát đa phương tiện tương tác với trình duyệt trong khi phát tệp để tải xuống codec video hoặc theo dõi. Mặc dù có tiềm năng khai thác, Script Command là một tính năng thiết yếu của Window Media Cầu thủ. Tệp video WMV dựa trên định dạng vùng chứa Định dạng Hệ thống Nâng cao của Microsoft (ASF) và được nén bằng Windows Media Nén. ASF có thể chứa một Đối tượng lệnh tập lệnh được sử dụng để truyền văn bản và cung cấp các lệnh có thể kiểm soát các phần tử trong môi trường máy khách.
ASF cho phép các lệnh tập lệnh đơn giản như URLANDEXIT, tự động khởi chạy URL được nhúng trong tệp video trong trình duyệt mặc định khi được thực thi. Các tác nhân đe dọa khai thác tính năng này để nhắc nạn nhân tải xuống tệp độc hại giả mạo plugin, bản cập nhật hoặc codec cần thiết để phát phương tiện và xâm phạm hệ thống của người dùng.
Trong ví dụ này, kẻ tấn công đã chèn một URL độc hại vào một tệp phương tiện hợp pháp.
Chúng ta có thể xem URL bằng ứng dụng đọc hex:
Làm thế nào để loại bỏ các đối tượng độc hại với Deep Content Disarm and Reconstruction Công nghệ
Deep CDR (Giải trừ và Tái thiết Nội dung) coi mọi tệp là mối đe dọa tiềm ẩn. Nó xử lý và phân tích các tệp để loại bỏ các đối tượng không được chấp thuận nhằm đảm bảo tất cả các tệp đến tổ chức của bạn đều an toàn để sử dụng. Đồng thời, Deep CDR xây dựng lại nội dung tệp để có đầy đủ chức năng để người dùng có thể xem video mà không cần tải xuống phần mềm độc hại.
Xử lý tệp bị nhiễm với MetaDefender Core phát hiện lệnh URLANDEXIT trong tệp.
Deep CDR xóa đối tượng URLANDEXIT và Đối tượng lệnh Script. Tệp mới được xây dựng lại vẫn có thể sử dụng được hoàn toàn. Kẻ tấn công không thể tải xuống phần mềm độc hại.
Cách phát hiện và khám phá phần mềm độc hại ẩn núp với Adaptive Phân tích mối đe dọa
Chúng tôi có thể quét tệp bằng MetaDefender Sandbox Công cụ phân tích mối đe dọa thích ứng Sandbox để đi sâu hơn vào các hành vi và khả năng của phần mềm độc hại.
MetaDefender Sandbox là một sandbox thế hệ tiếp theo sử dụng phân tích mối đe dọa thích ứng, cho phép phát hiện phần mềm độc hại zero-day, trích xuất thêm Chỉ báo thỏa hiệp (IOC) và Actionable Thông tin tình báo về các mối đe dọa.
Chúng tôi có được cái nhìn sâu sắc hơn về mối đe dọa bằng cách xử lý tệp WMV với Deep CDR Và Filescan . Filescan tải xuống tệp từ URLANDEXIT và thực hiện phân tích tĩnh để cung cấp thêm thông tin chi tiết về hành vi, chiến thuật, kỹ thuật và IOC của phần mềm độc hại.
OPSWAT Advanced Threat Detection và Phòng ngừa
Công nghệ OPSWAT tiên tiến bảo vệ các ứng dụng, mạng và thiết bị khỏi các cuộc tấn công zero-day, phần mềm độc hại ẩn núp và các cuộc tấn công có mục tiêu nâng cao. Bên cạnh các tệp phương tiện, Deep CDR cũng quét và vệ sinh đệ quy hơn 130 loại tệp, bao gồm các loại tệp phức tạp như tệp lưu trữ lồng nhau, tệp đính kèm email, tài liệu nhúng và siêu liên kết. Tệp được xây dựng lại vẫn có thể sử dụng và hoạt động đầy đủ.
Liên hệ với một trong những chuyên gia kỹ thuật của chúng tôi để tìm hiểu thêm về Deep CDR , Filescan và các công nghệ phòng ngừa mối đe dọa khác.
