AI Hacking - Wie Hacker künstliche Intelligenz bei Cyberangriffen einsetzen

Jetzt lesen
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Kann eine Videodatei einen Virus enthalten?
Endpoint

Kann eine Videodatei einen Virus enthalten?

von Yiyi Miao, Produktvorstand
Jetzt teilen

Ursprünglich veröffentlicht am 17. Februar 2014.

Videodateien werden in der Regel nicht als potenziell bösartige oder infizierte Dateitypen angesehen, aber es ist möglich Malware in eine Videodatei eingebettet oder als solche getarnt werden. Aufgrund dieses verbreiteten Missverständnisses sind Audio- und Videodateien faszinierende Bedrohungsvektoren für Malware-Autoren dar.

Warum die Sorge um Videodateien?

  • Media Player eine häufig verwendete Software sind, neigen die Benutzer dazu, sie über einen längeren Zeitraum zu nutzen und sie während anderer Aufgaben geöffnet zu lassen und häufig die Medienströme zu wechseln.
  • Viele Schwachstellen werden in Media-Playern gefunden. NIST [1] zeigt mehr als 1.200 Sicherheitslücken von 2000 bis 2014 [2]. Anfang 2020 verzeichnete NIST eine neue hochgradige Sicherheitslücke, CVE-2020-0002, in Android Media Framework.
  • Attraktive Videoinhalte und Hochgeschwindigkeitsinternet verleiten die Nutzer dazu, Dateien herunterzuladen und weiterzugeben, ohne darauf zu achten, und da diese Dateien als relativ harmlos angesehen werden, spielen die Nutzer die ihnen überlassenen Dateien wahrscheinlich auch ab.
  • Bei den Dateiformaten handelt es sich um Binärströme, die in der Regel recht komplex sind. Es ist viel Parsing erforderlich, um um sie zu bearbeiten, und die Wiedergabeberechnungen können leicht zu Integer-Fehlern führen.
  • Die Datei ist in der Regel sehr groß, und die Benutzer werden wahrscheinlich auf das Scannen verzichten, um Leistungseinbußen zu vermeiden.
  • Sie werden als relativ harmlos wahrgenommen - die Nutzer spielen die ihnen überlassenen Dateien wahrscheinlich ab.
  • Es gibt eine Vielzahl verschiedener Audioplayer und viele verschiedene Codecs und Plugins für Audiodateien, die alle die im Allgemeinen von Leuten geschrieben wurden, die sich nicht um die Sicherheit kümmern.
  • Benutzer laden Videos aus vielen unzuverlässigen Quellen herunter, und die Videos werden mit ziemlich hohen Berechtigungen und Prioritäten ausgeführt. Unter Windows Vista kann beispielsweise eine niedrig privilegierte Internet Explorer-Instanz Inhalte in einem höherprivilegierten Windows Media Player starten.
  • Videos werden häufig ohne ausdrückliche Zustimmung des Nutzers aufgerufen (z. B. eingebettet in eine Webseite) [3].

Typische Schwachstellen-Vektoren

Fuzzing des Media Players durch eine modifizierte Videodatei

Fuzzing ist eine allgemeine Methode, um ein Programm zu unerwartetem Verhalten zu zwingen, indem man ungültige, unerwartete oder zufällige Daten zu den Eingaben.

Ein Beispiel für gängige Videodateitypen

Fuzzing wurde entwickelt, um tiefe Fehler zu finden, und wird von Entwicklern eingesetzt, um die Robustheit des Codes zu gewährleisten, doch das beste Werkzeug eines Das beste Werkzeug eines Entwicklers kann jedoch auch dazu verwendet werden, den Benutzer auszunutzen. Bei Medienplayern, die angeblich "formatstreng" sind strict" sind, kann eine beschädigte echte Videodatei viele Fehler aufdecken, die meist durch die Dereferenzierung von Null-Zeigern verursacht werden. Dies führt Dies führt zu einem unangemessenen Speicherzugriff, der die Möglichkeit bietet, etwas in den Speicher zu schreiben, was nicht beabsichtigt ist geschrieben werden soll [4]. Glücklicherweise erfordert das Fuzzing von Media-Playern tiefgreifende Kenntnisse des Dateiformats, da sonst die sonst wird die beschädigte Datei vom Player einfach ignoriert.

Einbetten von Hyperlinks in eine Videodatei

Eine direktere Methode wird durch die Einbettung einer URL in moderne Mediendateien erreicht.

Mit dem Microsoft Advanced System Format (ASF) können beispielsweise einfache Skriptbefehle ausgeführt werden. In diesem Fall, "URLANDEXIT" an einer bestimmten Adresse und nach einer beliebigen URL platziert. Wenn dieser Code ausgeführt wird, wird der Benutzer angewiesen, eine eine ausführbare Datei herunterzuladen, die oft als Codec getarnt ist und den Benutzer zum Herunterladen auffordert, um die Medien abzuspielen. Medien abzuspielen.

Eingebettete URL im Code dekompilierter Mediendateien versteckt

MetaDefender Cloud, das Anti-Malware-Multiscanning-Tool von OPSWAT, hat ein Beispiel für eine solche Datei: opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.

Der Name der Bedrohung lautet "GetCodec". In diesem Beispiel wurde der Media Player auf einen Link zum Herunterladen eines Trojaners umgeleitet. Siehe den gescannten Trojaner hier.

Beispiele für Dateityp-Exploits

Nachfolgend finden Sie eine Tabelle mit den gängigen Mediendateiformaten, die ausgenutzt wurden, um den Benutzer auf bösartige Websites umzuleiten Websites umleiten oder aus der Ferne beliebigen Code auf den Systemen der Zielbenutzer ausführen.

DateiformatErkennungBeschreibung
Windows
.wma/.wmv		Downloader-UA.bNutzt Schwachstelle in Digital Rights Management aus
Real Media
.rmvb		W32/Realor.wormInfiziert Real Media Dateien, um Links zu bösartigen Websites einzubetten
Real Media
.rm/.rmvb		Menschliches HandwerkStartet bösartige Webseiten ohne Aufforderung
QucikTime.movMenschliches HandwerkStartet eingebettete Hyperlinks zu pornografischen Seiten
Adobe Flash.swfExploit-CVE-2007-0071Sicherheitslücke im DefineSceneAndFrameLabelData-Tag
Fenster.asfW32/GetCodec.wormInfiziert .asf-Dateien und bettet Links zu bösartigen Webseiten ein
Adobe Flash.swfExploit-SWF.cSchwachstelle im AVM2 "new function" Opcode
QuickTime.movMenschliches HandwerkFührt willkürlichen Code auf dem System des Zielbenutzers aus
Adobe Flash.swfExploit-CVE-2010-2885Sicherheitslücke in ActionScript Virtual Machine 2
Adobe Flash.swfSicherheitslücke-CVE2010-3654Sicherheitslücke in der AVM2 MultiName-Schaltflächenklasse
Fenster .wmvAusnutzen von CVE-2013-3127WMV Video Decoder - Sicherheitslücke bei der Remotecode-Ausführung
Matroska Video .mkvExploit-CVE2019-14438Schwachstelle in VLC, führt beliebigen Code mit Rechten auf dem System des Zielbenutzers aus

Lösungen

Viele Anti-Malware-Anbieter haben jetzt eine zusätzliche Erkennung eingebaut, indem sie nach URL-Signaturen in Mediendateien suchen. OPSWAT MetaDefender Multiscanning Technologie nutzt mehr als 35 Anti-Malware-Engines und verbessert die Erkennung von bekannten und unbekannten Bedrohungen. Deep CDR unterstützt auch Video- und Audiodateiformate und kann helfen, Zero-Day-Angriffe zu verhindern. Angriffe zu verhindern. MetaDefender's file-based vulnerability assessment Technologie kann Schwachstellen in Mediaplayern erkennen Installationsprogrammen erkennen, bevor sie installiert werden.

Wenn Sie nicht über OPSWAT Solutions verfügen, müssen Sie mehr auf Mediendateien achten, keine nicht vertrauenswürdigen Dateien anzeigen, niemals Medienplayer mit erweiterten Rechten ausführen und keine Downloads von unbekannten Codecs oder seltsamen Lizenzen akzeptieren. Immer halten Sie Ihre Media-Player-Software immer auf dem neuesten Stand, um Sicherheitslücken zu vermeiden.

Referenzen

[1]Nationale Datenbank für Anfälligkeit.

[2]Killer Music: Hacker nutzen Schwachstellen im Media Player aus.

[3]David Thiel. "Schwachstellen inSoftware aufdecken".

[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Strukturierte Zufallsdaten zum präzisen Fuzzing Media Spieler".

Tags:

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren