AI Hacking - Comment les pirates utilisent l'intelligence artificielle dans les cyberattaques

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Un fichier vidéo peut-il contenir un virus ?
Gestion des Endpoint

Un fichier vidéo peut-il contenir un virus ?

par Yiyi Miao, chef de produit
Partager cet article

Publié initialement le 17 février 2014.

Les fichiers vidéo ne sont généralement pas considérés comme des types de fichiers potentiellement malveillants ou infectés, mais il est possible que des logiciels malveillants soient intégrés ou déguisés en fichiers vidéo. mais il est possible que des logiciels malveillants soient intégrés dans un fichier vidéo ou déguisés en celui-ci. En raison de cette idée fausse, les fichiers audio et vidéo sont des vecteurs de menace intéressants pour les logiciels malveillants. vidéo sont des vecteurs de menace intrigants pour les auteurs de logiciels malveillants.

Pourquoi se préoccuper des fichiers vidéo ?

  • Media sont des logiciels fréquemment utilisés, les utilisateurs ont tendance à les utiliser pendant une période prolongée, à les laisser ouverts pendant d'autres tâches et à changer fréquemment de flux multimédia. les laisser ouverts pendant d'autres tâches, et changer fréquemment de flux multimédia.
  • Les lecteurs multimédias présentent de nombreuses vulnérabilités. Le NIST [1] recense plus de 1 200 vulnérabilités entre 2000 et 2014 [2]. 2014 [2]. Début 2020, le NIST a enregistré une nouvelle vulnérabilité de haute sévérité, CVE-2020-0002, dans Android Media Framework.
  • Un contenu vidéo attrayant et l'internet à haut débit incitent les utilisateurs à télécharger et à partager sans faire attention, et comme ces fichiers sont perçus comme relativement inoffensifs, les utilisateurs sont susceptibles de lire les fichiers qu'on leur donne.
  • Les formats de fichiers concernés sont des flux binaires et tendent à être raisonnablement complexes. Une grande partie de l'analyse est nécessaire pour les manipuler. pour les manipuler, et les calculs de lecture peuvent facilement donner lieu à des bogues de nombres entiers.
  • Le fichier est généralement volumineux ; les utilisateurs sont susceptibles d'ignorer les solutions d'analyse pour éviter l'impact sur les performances.
  • Ils sont perçus comme relativement inoffensifs - les utilisateurs sont susceptibles de lire les fichiers qui leur sont confiés.
  • Il existe une grande variété de lecteurs audio et de nombreux codecs et plugins de fichiers audio, tous écrits par des personnes généralement peu soucieuses de la sécurité. écrits par des personnes généralement peu soucieuses de la sécurité.
  • Les utilisateurs téléchargent des vidéos à partir de nombreuses sources peu fiables, et les vidéos s'exécutent avec des privilèges et une priorité assez élevés. Par exemple, dans Windows Vista, une instance d'Internet Explorer à faible privilège peut lancer du contenu dans un lecteur Windows à privilège plus élevé. Windows Media Player, qui bénéficie d'un privilège plus élevé.
  • Les vidéos sont souvent utilisées sans que l'utilisateur le reconnaisse explicitement (c'est-à-dire intégrées dans une page web) [3].

Vecteurs de vulnérabilité typiques

Fuzzer le lecteur multimédia par un fichier vidéo modifié

Le Fuzzing est une méthode générique pour forcer un programme à se comporter de manière inattendue en fournissant des données invalides, inattendues ou aléatoires aux entrées. aléatoires aux entrées.

Illustration des types de fichiers vidéo les plus courants

Le Fuzzing est conçu pour trouver des bogues profonds et est utilisé par les développeurs pour assurer la robustesse du code, cependant, le meilleur outil d'un développeur peut être utilisé pour exploiter l'utilisateur également. Cependant, le meilleur outil d'un développeur peut également être utilisé pour exploiter l'utilisateur. Pour les lecteurs multimédias, qui sont censés être "stricts en matière de format", une vraie vidéo corrompue peut être utilisée pour exploiter les utilisateurs. strict", un fichier vidéo réel corrompu peut révéler de nombreux bogues, la plupart causés par le déréférencement de pointeurs nuls. Il en résulte Cela se traduit par un accès inapproprié à la mémoire, ce qui offre la possibilité d'écrire dans la mémoire quelque chose qui n'est pas destiné à être écrit [4]. d'être écrit [4]. Heureusement, le fuzzing des lecteurs multimédias nécessite une connaissance approfondie du format de fichier, sinon le fichier corrompu sera simplement ignoré. fichier corrompu sera tout simplement ignoré par le lecteur.

Intégrer des hyperliens dans un fichier vidéo

Une méthode plus directe consiste à intégrer une URL dans les fichiers multimédias modernes.

Par exemple, le format ASF (Advanced System Format) de Microsoft permet d'exécuter des commandes de script simples. Dans ce cas, "URLANDEXIT" est placé à une adresse spécifique et à la suite de n'importe quel URL, "URLANDEXIT" est placé à une adresse spécifique et à la suite de n'importe quel URL. Lorsque ce code s'exécute, l'utilisateur est invité à télécharger un fichier exécutable, souvent déguisé en codec et invitant l'utilisateur à le télécharger pour lire le média. médias.

Dissimulation de l'URL intégrée dans le code du fichier multimédia décompilé

MetaDefender Cloud, l'outil de multiscanning anti-malware d'OPSWAT, présente un exemple de fichier de ce type : opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.

Le nom de la menace est "GetCodec". Dans cet exemple, le lecteur multimédia a été redirigé vers un lien permettant de télécharger un cheval de Troie. Voir le cheval de Troie analysé ici.

Exemples d'exploitation de types de fichiers

Le tableau ci-dessous répertorie les formats de fichiers multimédias les plus répandus qui ont été exploités en dirigeant l'utilisateur vers des sites malveillants ou en exécutant des codes arbitraires à distance sur les systèmes des utilisateurs ciblés. ou en exécutant des codes arbitraires à distance sur les systèmes des utilisateurs cibles.

Format de fichierDétectionDescription
Windows
.wma/.wmv		Downloader-UA.bExploite une faille dans la gestion des droits numériques
Real Media
.rmvb		W32/Realor.wormInfecte les fichiers Real Media pour y intégrer des liens vers des sites malveillants.
Real Media
.rm/.rmvb		L'être humain façonnéLance des pages web malveillantes sans y être invité
QucikTime.movL'être humain façonnéLance des hyperliens intégrés vers des sites pornographiques
Adobe Flash.swfExploit-CVE-2007-0071Vulnérabilité dans la balise DefineSceneAndFrameLabelData
Windows.asfW32/GetCodec.wormInfection des fichiers .asf pour y intégrer des liens vers des pages web malveillantes
Adobe Flash.swfExploit-SWF.cVulnérabilité dans l'opcode "new function" de l'AVM2
QuickTime.movL'être humain façonnéExécution d'un code arbitraire sur le système de l'utilisateur cible
Adobe Flash.swfExploit-CVE-2010-2885Vulnérabilité dans ActionScript Virtual Machine 2
Adobe Flash.swfExploit-CVE2010-3654Vulnérabilité dans la classe de boutons MultiName d'AVM2
Windows .wmvExploiter CVE-2013-3127Vulnérabilité d'exécution de code à distance du décodeur vidéo WMV
Vidéo Matroska .mkvExploit-CVE2019-14438Vulnérabilité dans VLC, qui exécute du code arbitraire avec des privilèges sur le système de l'utilisateur cible.

Solutions

De nombreux fournisseurs de logiciels anti-malveillants ont ajouté la détection en recherchant les signatures d'URL dans les fichiers de type média. OPSWAT MetaDefender Multiscanning La technologie de l'IMSMA tire parti de plus de 35 moteurs anti-programmes malveillants et améliore considérablement la détection des menaces connues et inconnues. menaces connues et inconnues. Deep CDR Elle prend également en charge les formats de fichiers vidéo et audio et peut contribuer à prévenir les attaques Zero Day Zero Day. MetaDefender's file-based vulnerability assessment peut détecter les vulnérabilités dans les installateurs de lecteurs avant qu'ils ne soient installés.

Si vous ne disposez pas des solutionsOPSWAT , vous devez faire plus attention aux fichiers multimédias, ne pas afficher de fichiers non fiables, ne jamais exécuter de lecteurs multimédias avec des privilèges élevés et ne pas accepter de téléchargements de codecs inconnus ou de licences étranges. n'exécutez jamais de lecteurs multimédias avec des privilèges élevés et n'acceptez pas de télécharger des codecs inconnus ou des licences étranges. Veillez toujours à toujours mettre à jour votre logiciel de lecture multimédia afin d'éviter les vulnérabilités.

Références

[1]Base de données nationale sur les vulnérabilités.

[2]Killer Music : des pirates exploitent les vulnérabilités du lecteur Media .

[3]David Thiel."Exposer les vulnérabilités desSoftware Media ".

[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Using Structured Random Data to Precisely Fuzz Media Players".

Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner