İlk Yayın Tarihi 17 Şubat 2014.
Video dosyaları genellikle kötü amaçlı veya virüslü dosya türleri olarak düşünülmez, ancak Kötü amaçlı yazılımların bir video dosyasına gömülmesi veya video dosyası olarak gizlenmesi. Bu yaygın yanılgı nedeniyle, ses ve video dosyaları kötü amaçlı yazılım yazarları için ilgi çekici tehdit vektörleridir.
Video Dosyaları İçin Neden Endişe Duyuluyor?
- Media oynatıcılar sık kullanılan yazılımlardır, kullanıcılar bunları uzun süre kullanma eğilimindedirler ve diğer görevler sırasında açın ve medya akışlarını sık sık değiştirin.
- Medya oynatıcılarda birçok güvenlik açığı bulunur. NIST [1] 2000 yılından bu yana 1.200'den fazla güvenlik açığını göstermektedir. 2014 [2]. 2020'nin başlarında NIST, Android'de CVE-2020-0002 adlı yeni bir yüksek önem derecesine sahip güvenlik açığı kaydetti Media Çerçeve.
- Cazip video içeriği ve yüksek hızlı internet, kullanıcıları dikkat etmeden indirmeye ve paylaşmaya yönlendiriyor ve bu dosyalar nispeten zararsız olarak algılandığından, kullanıcılar kendilerine verilen dosyaları oynatma eğiliminde oluyor.
- İlgili dosya formatları ikili akışlardır ve oldukça karmaşık olma eğilimindedirler. Çok fazla ayrıştırma gereklidir manipüle edebilir ve oynatma hesaplamaları kolayca tamsayı hatalarına neden olabilir.
- Dosya genellikle büyüktür; kullanıcıların performans etkisinden kaçınmak için tarama çözümlerini atlaması muhtemeldir.
- Nispeten zararsız olarak algılanırlar - kullanıcıların kendilerine verilen dosyaları oynatmaları muhtemeldir.
- Çok çeşitli farklı ses oynatıcıları ve birçok farklı codec ve ses dosyası eklentisi vardır, hepsi genellikle güvenlik odaklı olmayan kişiler tarafından yazılmıştır.
- Kullanıcılar birçok güvenilir olmayan kaynaktan video indirmekte ve videolar oldukça yüksek ayrıcalık ve öncelik ile çalışmaktadır. Örneğin, Windows Vista'da düşük ayrıcalıklı bir Internet Explorer örneği, içeriği bir daha yüksek ayrıcalıklı Windows Media Player.
- Videolar sıklıkla kullanıcının açık onayı olmadan çağrılır (örn. bir web sayfasına gömülü olarak) [3].
Tipik Güvenlik Açığı Vektörleri
Değiştirilmiş bir video dosyası ile medya oynatıcıyı bulanıklaştırma
Fuzzing, bir programa geçersiz, beklenmedik veya rastgele bilgiler sağlayarak beklenmedik şekilde davranmaya zorlamak için kullanılan genel bir yöntemdir. verileri girişlere aktarır.
Fuzzing derin hataları bulmak için tasarlanmıştır ve geliştiriciler tarafından kodun sağlamlığını sağlamak için kullanılır, ancak Geliştiricinin en iyi aracı kullanıcıyı sömürmek için de kullanılabilir. Sözde "format" olan medya oynatıcıları için strict," bozuk bir gerçek video dosyası, çoğu null işaretçilerinin dereferanslanmasından kaynaklanan birçok hatayı ortaya çıkarabilir. Bu sonuçlar uygunsuz bellek erişiminde, belleğe amaçlanmayan bir şey yazma olasılığı sunar yazılabilir [4]. Neyse ki, medya oynatıcılarını bulanıklaştırmak dosya formatı hakkında derinlemesine bilgi gerektirir, aksi takdirde Bozuk dosya, oynatıcı tarafından göz ardı edilecektir.
Video dosyasına köprüler gömme
Modern medya dosyalarına bir URL yerleştirerek daha doğrudan bir yöntem elde edilir.
Örneğin, Microsoft Gelişmiş Sistem Formatı (ASF) basit komut dosyası komutlarının yürütülmesine izin verir. Bu durumda, "URLANDEXIT" belirli bir adrese ve herhangi bir URL'yi takiben yerleştirilir. Bu kod çalıştırıldığında, kullanıcı şu adrese yönlendirilir genellikle bir codec olarak gizlenen ve kullanıcıdan oynatmak için indirmesini isteyen yürütülebilir bir dosya indirmek Medya.
OPSWAT'ın kötü amaçlı yazılımlara karşı çoklu tarama aracıMetaDefender Cloud'da bu tür bir dosya örneği bulunmaktadır:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
Tehdit adı "GetCodec." Bu örnekte, medya oynatıcı bir truva atı indirmek için bir bağlantıya yönlendirilmiştir. Bkz. Taranan trojan burada.
Dosya Türü İstismarlarına Örnekler
Aşağıda, kullanıcıyı kötü niyetli kişilere yönlendirerek istismar edilen popüler medya dosyası formatlarını listeleyen bir tablo bulunmaktadır siteleri veya hedef kullanıcıların sistemlerinde uzaktan keyfi kodlar çalıştırmak.
| Dosya Biçimi | Algılama | Tanım |
| Windows .wma/.wmv | Downloader-UA.b | Dijital Haklar Yönetimindeki açıklardan yararlanıyor |
| Gerçek Media .rmvb | W32/Realor.worm | Real Media dosyalarına kötü amaçlı sitelere bağlantı gömmek için bulaştırır |
| Gerçek Media .rm/.rmvb | İnsan yapımı | İstemde bulunmadan kötü amaçlı web sayfalarını başlatır |
| QucikTime.mov | İnsan yapımı | Pornografik sitelere gömülü köprüler başlatır |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | DefineSceneAndFrameLabelData etiketindeki güvenlik açığı |
| Windows.asf | W32/GetCodec.worm | Zararlı web sayfalarına bağlantılar yerleştirmek için .asf dosyalarına bulaşır |
| Adobe Flash.swf | Exploit-SWF.c | AVM2 "yeni işlev" işlem kodunda güvenlik açığı |
| QuickTime.mov | İnsan yapımı | Hedef kullanıcının sisteminde rastgele kod çalıştırır |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | ActionScript Virtual Machine 2'de Güvenlik Açığı |
| Adobe Flash.swf | Exploit-CVE2010-3654 | AVM2 MultiName düğme sınıfında güvenlik açığı |
| Windows .wmv | CVE-2013-3127'den Yararlanma | WMV Video Kod Çözücü Uzaktan Kod Yürütme Güvenlik Açığı |
| Matroska Video .mkv | Exploit-CVE2019-14438 | VLC'deki güvenlik açığı, hedef kullanıcının sisteminde ayrıcalıklarla keyfi kod çalıştırır |
Çözümler
Birçok kötü amaçlı yazılımdan koruma sağlayıcısı artık medya türü dosyaların içindeki URL imzalarını arayarak algılama özelliğini eklemiştir. OPSWAT
MetaDefender Multiscanning teknolojisi, 35'ten fazla kötü amaçlı yazılımdan koruma motorundan yararlanır ve aşağıdakilerin tespitini önemli ölçüde geliştirir
bilinen ve bilinmeyen tehditler. Deep CDR video ve ses dosyası formatlarını da destekler ve Sıfırıncı Günü önlemeye yardımcı olabilir
Saldırı. MetaDefender's file-based vulnerability assessment teknolojisi medya oynatıcıdaki güvenlik açıklarını tespit edebilir
monte edilmeden önce montajcılar.
OPSWAT Solutions'a sahip değilseniz, medya dosyalarına daha fazla dikkat etmeniz, güvenilmeyen dosyaları görüntülememeniz, asla Medya oynatıcıları yükseltilmiş ayrıcalıklarla çalıştırın ve bilinmeyen kodeklerin veya garip lisansların indirilmesini kabul etmeyin. Her zaman Güvenlik açıklarından kaçınmak için medya oynatıcı yazılımınızı güncel tutun.
Referanslar
[1]Ulusal Güvenlik Açığı Veritabanı.
[2]Killer Music: Hackerlar Media Player Açıklarından Yararlanıyor.
[ 3]David Thiel. " Media Software Güvenlik Açıklarını Ortaya Çıkarma".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Hassas Bulanıklaştırma için Yapılandırılmış Rastgele Veri Kullanma Media Oyuncular".
