Tệp video có thể chứa vi-rút không?

Xuất bản lần đầu ngày 17 tháng 2 năm 2014.

Các tệp video thường không được coi là loại tệp độc hại hoặc bị nhiễm tiềm ẩn, nhưng có thể để phần mềm độc hại được nhúng vào hoặc ngụy trang dưới dạng tệp video. Do quan niệm sai lầm phổ biến này, âm thanh và Các tệp video là vectơ đe dọa hấp dẫn cho những người viết phần mềm độc hại.

Tại sao mối quan tâm cho các tập tin video?

• Media Người chơi là phần mềm thường xuyên được sử dụng, người dùng có xu hướng sử dụng chúng trong một thời gian dài để lại chúng Mở trong các tác vụ khác và thường xuyên chuyển đổi luồng phương tiện.
• Nhiều lỗ hổng được tìm thấy trong trình phát đa phương tiện. NIST [1] cho thấy hơn 1.200 lỗ hổng từ năm 2000 đến 2014 [2]. Đầu năm 2020, NIST đã ghi nhận một lỗ hổng mới có mức độ nghiêm trọng cao, CVE-2020-0002, trong Android Media Khuôn khổ.
• Nội dung video hấp dẫn và internet tốc độ cao khiến người dùng tải xuống và chia sẻ mà không chú ý và vì các tệp này được coi là tương đối vô hại, người dùng có khả năng phát các tệp được cung cấp cho họ.
• Các định dạng tệp liên quan là các luồng nhị phân và có xu hướng phức tạp hợp lý. Cần nhiều phân tích cú pháp để Thao tác với chúng và các tính toán phát lại có thể dễ dàng dẫn đến lỗi số nguyên.
• Tệp thường lớn; Người dùng có khả năng bỏ qua các giải pháp quét để tránh ảnh hưởng đến hiệu suất.
• Chúng được coi là tương đối vô hại - người dùng có khả năng phát các tệp được cung cấp cho chúng.
• Có rất nhiều trình phát âm thanh khác nhau và nhiều codec và plugin tệp âm thanh khác nhau, tất cả được viết bởi những người thường không tập trung vào bảo mật.
• Người dùng tải xuống video từ nhiều nguồn không đáng tin cậy và video chạy với đặc quyền và mức độ ưu tiên khá cao. Ví dụ: trong Windows Vista, phiên bản Internet Explorer đặc quyền thấp có thể khởi chạy nội dung trong Windows đặc quyền cao hơn Media Cầu thủ.
• Video thường được gọi mà không có sự thừa nhận rõ ràng của người dùng (tức là được nhúng trong một trang web) [3].

Vector lỗ hổng điển hình

Làm mờ trình phát đa phương tiện bằng tệp video đã sửa đổi

Fuzzing là một phương pháp chung để buộc một chương trình hoạt động bất ngờ bằng cách cung cấp không hợp lệ, bất ngờ hoặc ngẫu nhiên dữ liệu đến đầu vào.

Fuzzing được thiết kế để tìm các lỗi sâu và được các nhà phát triển sử dụng để đảm bảo tính mạnh mẽ của mã, tuy nhiên, một Công cụ tốt nhất của nhà phát triển cũng có thể được sử dụng để khai thác người dùng. Đối với trình phát đa phương tiện, được cho là "định dạng nghiêm ngặt", một tệp video thực bị hỏng có thể gây ra nhiều lỗi, hầu hết là do hủy tham chiếu các con trỏ null. Kết quả này trong truy cập bộ nhớ không phù hợp, cung cấp khả năng ghi vào bộ nhớ một cái gì đó không có ý định được viết [4]. May mắn thay, trình phát đa phương tiện mờ đòi hỏi kiến thức chuyên sâu về định dạng tệp nếu không tập tin bị hỏng, đơn giản sẽ bị người chơi bỏ qua.

Nhúng siêu kết nối vào tệp video

Một phương pháp trực tiếp hơn có được bằng cách nhúng URL vào các tệp phương tiện hiện đại.

Ví dụ: Định dạng hệ thống nâng cao của Microsoft (ASF) cho phép thực thi các lệnh tập lệnh đơn giản. Trong trường hợp này, "URLANDEXIT" được đặt tại một địa chỉ cụ thể và theo bất kỳ URL nào. Khi mã này thực thi, người dùng được hướng đến Tải xuống tệp thực thi, thường được ngụy trang dưới dạng codec và nhắc người dùng tải xuống để phát phương tiện.

MetaDefender Cloud , OPSWAT Công cụ quét đa phần mềm chống phần mềm độc hại của Microsoft có ví dụ về một tệp như vậy: https:// metadefender opswat .com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information .

Tên mối đe dọa là "GetCodec." Trong ví dụ này, trình phát đa phương tiện đã được chuyển hướng đến một liên kết để tải xuống trojan. Xem Trojan được quét ở đây.

Ví dụ về khai thác loại tệp

Dưới đây là bảng liệt kê các định dạng tệp phương tiện phổ biến đã bị khai thác bằng cách định tuyến người dùng đến độc hại các trang web hoặc thực thi mã tùy ý từ xa trên hệ thống của người dùng mục tiêu.

Giải pháp

Nhiều nhà cung cấp phần mềm diệt phần mềm độc hại hiện nay đã bổ sung tính năng phát hiện bằng cách tìm kiếm chữ ký URL bên trong các tệp loại phương tiện. OPSWAT MetaDefender Công nghệ Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý tận dụng hơn 35 trình quét phòng chống mã độc và cải thiện đáng kể khả năng phát hiện các mối đe dọa đã biết và chưa biết. Deep CDR cũng hỗ trợ các định dạng tệp video và âm thanh và có thể giúp ngăn chặn các cuộc tấn công Zero Day. MetaDefender Công nghệ file-based vulnerability assessment có thể phát hiện lỗ hổng trong trình cài đặt trình phát phương tiện trước khi chúng được cài đặt.

Nếu bạn không có OPSWAT Giải pháp, bạn cần chú ý nhiều hơn đến các tệp phương tiện, không xem các tệp không đáng tin cậy, không bao giờ Chạy trình phát đa phương tiện có đặc quyền nâng cao và không chấp nhận tải xuống codec không xác định hoặc giấy phép lạ. Luôn luôn Luôn cập nhật phần mềm trình phát đa phương tiện của bạn để tránh các lỗ hổng.

Tham khảo

[1]Cơ sở dữ liệu quốc gia về lỗ hổng bảo mật.

[2]Killer Music: Tin tặc khai thác Media Lỗ hổng của người chơi.

[3] David Thiel. "Tiết lộ lỗ hổng trong Software Media " .

[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Sử dụng dữ liệu ngẫu nhiên có cấu trúc để làm mờ chính xác Media Người chơi".