تثبيت في الأصل في 17 فبراير 2014.
لا ينظر عادة إلى ملفات الفيديو على أنها أنواع ملفات ضارة أو متضررة ، ولكن من الممكن لتضمين البرامج الضارة أو تمويهها كملف فيديو. بسبب هذا الاعتقاد الخاطئ الشائع ، الصوت و ملفات الفيديو هي ناقلات تهديد مثيرة للاهتمام لكتاب البرامج الضارة.
لماذا الاهتمام بملفات الفيديو؟
- Media يتم استخدام برامج اللاعبين بشكل متكرر ، ويميل المستخدمون إلى استخدامها لفترة طويلة من الوقت مما يتركهم افتح أثناء المهام الأخرى ، وقم بتبديل تدفقات الوسائط بشكل متكرر.
- تم العثور على العديد من نقاط الضعف في مشغلات الوسائط. يظهر NIST [1] أكثر من 1200 نقطة ضعف من عام 2000 إلى 2014 [2]. في أوائل عام 2020 ، سجل NIST ثغرة أمنية جديدة عالية الخطورة ، CVE-2020-0002 ، في Android Media اطار.
- يقود محتوى الفيديو الجذاب والإنترنت عالي السرعة المستخدمين إلى التنزيل والمشاركة دون الانتباه ، وبما أن هذه الملفات ينظر إليها على أنها غير ضارة نسبيا ، فمن المرجح أن يقوم المستخدمون بتشغيل الملفات المقدمة لهم.
- تنسيقات الملفات المعنية هي تيارات ثنائية وتميل إلى أن تكون معقدة بشكل معقول. مطلوب الكثير من التحليل ل قم بمعالجتها ، ويمكن أن تؤدي حسابات التشغيل بسهولة إلى أخطاء عدد صحيح.
- عادة ما يكون الملف كبيرا ؛ من المرجح أن يتخطى المستخدمون حلول المسح الضوئي لتجنب التأثير على الأداء.
- ينظر إليها على أنها غير ضارة نسبيا - من المرجح أن يقوم المستخدمون بتشغيل الملفات المقدمة لهم.
- هناك مجموعة متنوعة من مشغلات الصوت المختلفة والعديد من برامج الترميز المختلفة والمكونات الإضافية للملفات الصوتية ، وكلها كتبه أشخاص لا يركزون بشكل عام على الأمن.
- يقوم المستخدمون بتنزيل مقاطع الفيديو من العديد من المصادر غير الموثوقة ، ويتم تشغيل مقاطع الفيديو بامتياز وأولوية عالية إلى حد ما. على سبيل المثال، في نظام التشغيل Windows Vista، يمكن لمثيل Internet Explorer منخفض الامتياز تشغيل المحتوى في ويندوز أعلى امتيازا Media لاعب.
- كثيرا ما يتم استدعاء مقاطع الفيديو دون إقرار صريح من المستخدم (أي مضمنة في صفحة ويب) [3].
ناقلات الضعف النموذجية
تشويش مشغل الوسائط بواسطة ملف فيديو معدل
Fuzzing هي طريقة عامة لإجبار البرنامج على التصرف بشكل غير متوقع من خلال توفير غير صالح أو غير متوقع أو عشوائي البيانات إلى المدخلات.
تم تصميم Fuzzing للعثور على الأخطاء العميقة ويستخدمه المطورون لضمان متانة الكود ، ومع ذلك ، أ يمكن استخدام أفضل أداة للمطور لاستغلال المستخدم أيضا. لمشغلات الوسائط ، والتي من المفترض أن تكون "تنسيقا" صارم" ، يمكن أن يكشف ملف فيديو حقيقي تالف عن العديد من الأخطاء ، معظمها ناتج عن إلغاء الإشارة إلى المؤشرات الخالية. هذه النتائج في الوصول غير المناسب إلى الذاكرة ، والذي يوفر إمكانية الكتابة إلى الذاكرة شيء لا يقصد به أن تكون مكتوبة [4]. لحسن الحظ ، تتطلب مشغلات الوسائط المشوشة معرفة متعمقة بتنسيق الملف وإلا فإن ملف تالف ، سيتم تجاهله ببساطة من قبل اللاعب.
تضمين ارتباطات تشعبية في ملف فيديو
يتم الحصول على طريقة أكثر مباشرة عن طريق تضمين عنوان URL في ملفات الوسائط الحديثة.
على سبيل المثال ، يسمح تنسيق النظام المتقدم ل Microsoft (ASF) بتنفيذ أوامر البرنامج النصي البسيطة. في هذه الحالة، يتم وضع "URLANDEXIT" في عنوان محدد ويتبع أي عنوان URL. عند تنفيذ هذا الرمز ، يتم توجيه المستخدم إلى قم بتنزيل ملف قابل للتنفيذ ، غالبا ما يتم تنكره في شكل برنامج ترميز ويطالب المستخدم بالتنزيل من أجل تشغيل ملف وسائط.
يحتوي MetaDefender Cloud أداة OPSWAT لمكافحة البرمجيات الخبيثة متعددة الفحص، على مثال لأحد هذه الملفات:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
اسم التهديد هو "GetCodec". في هذا المثال، تمت إعادة توجيه مشغل الوسائط إلى ارتباط لتنزيل حصان طروادة. رأى حصان طروادة الممسوح ضوئيا هنا.
أمثلة على عمليات استغلال نوع الملف
يوجد أدناه جدول يسرد تنسيقات ملفات الوسائط الشائعة التي تم استغلالها عن طريق توجيه المستخدم إلى البرامج الضارة المواقع أو تنفيذ أكواد عشوائية عن بعد على أنظمة المستخدمين المستهدفين.
| تنسيق الملف | الكشف | وصف |
| نوافذ .wma/.wmv | تنزيل - UA.b | استغلال الخلل في إدارة الحقوق الرقمية |
| حقيقي Media .رمفب | W32 / ريالور دودة | يصيب الحقيقي Media الملفات المراد تضمينها في ارتباط بمواقع ضارة |
| حقيقي Media .rm/.rmvb | صنع الإنسان | تشغيل صفحات الويب الضارة دون مطالبة |
| QucikTime.mov | صنع الإنسان | إطلاق ارتباطات تشعبية مضمنة لمواقع إباحية |
| أدوبي فلاش.swf | استغلال-CVE-2007-0071 | ثغرة أمنية في علامة DefineSceneAndFrameLabelData |
| ويندوز.asf | W32/جيتكوديكود.دودة | يصيب ملفات .asf لتضمين روابط لصفحات ويب ضارة |
| أدوبي فلاش.swf | استغلال-SWF.c | ثغرة أمنية في رمز التشغيل AVM2 "وظيفة جديدة" |
| كويك تايم.mov | صنع الإنسان | ينفذ تعليمات برمجية عشوائية على نظام المستخدم المستهدف |
| أدوبي فلاش.swf | استغلال - CVE - 2010-2885 | ثغرة أمنية في الجهاز الظاهري أكشن سكريبت 2 |
| أدوبي فلاش.swf | استغلال-CVE2010-3654 | ثغرة أمنية في فئة زر AVM2 MultiName |
| ويندوز .wmv | استغلال CVE-2013-3127 | WMV وحدة فك ترميز الفيديو عن بعد ثغرة تنفيذ التعليمات البرمجية عن بعد |
| فيديو ماتروسكا .mkv | استغلال-CVE2019-14438 | الثغرة الأمنية في VLC ، تنفذ تعليمات برمجية عشوائية بامتيازات على نظام المستخدم المستهدف |
حلول
وقد أضاف العديد من بائعي برامج مكافحة البرمجيات الضارة الآن ميزة الكشف عن طريق البحث عن توقيعات عناوين URL داخل ملفات من نوع الوسائط. OPSWAT
MetaDefender Multiscanning تستفيد هذه التقنية من أكثر من 35 محركًا لمكافحة البرمجيات الضارة وتحسن بشكل كبير من اكتشاف
التهديدات المعروفة وغير المعروفة. Deep CDR تدعم أيضًا تنسيقات ملفات الفيديو والصوت ويمكن أن تساعد في منع هجمات يوم الصفر
الهجمات. MetaDefender's file-based vulnerability assessment اكتشاف الثغرات في مشغلات الوسائط
قبل تثبيتها.
إذا لم يكن لديك OPSWAT الحلول ، تحتاج إلى إيلاء المزيد من الاهتمام لملفات الوسائط ، لا تعرض الملفات غير الموثوق بها ، أبدا قم بتشغيل مشغلات الوسائط بامتيازات مرتفعة، ولا تقبل تنزيلات برامج الترميز غير المعروفة أو التراخيص الغريبة. دوما حافظ على تحديث برنامج مشغل الوسائط الخاص بك لتجنب الثغرات الأمنية.
مراجع
[1]قاعدة البيانات الوطنية للضعف.
[2]الموسيقى القاتلة: استغلال المتسللين Media نقاط ضعف اللاعب.
[3]ديفيد ثيل. "كشف الثغرات فيSoftware Media ".
[4]كولين لويس ، باريت رودن ، سينثيا ستورتون. "استخدام البيانات العشوائية المنظمة للزغب بدقة Media اللاعبين".
