原文掲載:2014年2月17日
動画ファイルは通常、悪意のある、あるいは感染する可能性のあるファイルタイプとは考えられていませんが、動画ファイルにマルウェアを埋め込んだり、偽装したりすることは可能です。 動画ファイルにマルウェアが埋め込まれたり、偽装されたりする可能性があります。このような一般的な誤解があるため、音声ファイルや動画ファイルは、マルウェア作成者にとって魅力的な脅威のベクトルとなっています。 動画ファイルは、マルウェア作成者にとって魅力的な脅威のベクトルです。
なぜビデオファイルを心配するのか?
- Media プレーヤーは頻繁に使用されるソフトウェアであるため、ユーザーは他の作業中もプレーヤーを開いたまま長時間使用し、メディアストリームを頻繁に切り替える傾向がある。 また、メディア・ストリームを頻繁に切り替える。
- メディアプレーヤーには多くの脆弱性が見つかっている。NIST[1]は、2000年から2014年までに1,200件以上の脆弱性を示している[2]。 2014[2].2020年初頭、NISTはAndroidに新たな深刻度の高い脆弱性CVE-2020-0002を記録した。Media フレームワークである。
- 魅力的なビデオ・コンテンツと高速インターネットは、ユーザーを注意を払うことなくダウンロードと共有に導き、これらのファイルは比較的無害であると認識されるため、ユーザーは与えられたファイルを再生する可能性が高い。
- 関係するファイル形式はバイナリーストリームで、それなりに複雑な傾向がある。操作には多くの解析が必要で また、プレイバックの計算は整数のバグを引き起こしやすい。
- 通常、このファイルは大きいため、ユーザーはパフォーマンスへの影響を避けるためにスキャンをスキップする可能性が高い。
- 比較的無害であると認識されており、ユーザーは与えられたファイルを再生する可能性が高い。
- 多種多様なオーディオ・プレーヤーがあり、多種多様なコーデックやオーディオ・ファイル・プラグインがある。 一般的にセキュリティに関心のない人たちによって書かれています。
- ユーザーは多くの信頼できないソースからビデオをダウンロードし、ビデオはかなり高い特権と優先順位で実行される。 例えば、Windows Vistaでは、低い特権のInternet Explorerインスタンスが、高い特権のWindows Playerでコンテンツを起動することができる。 例えば、Windows Vistaでは、低い特権のInternet Explorerインスタンスが、高い特権のWindowsMedia Playerでコンテンツを起動することができる。
- 動画は、ユーザーが明示的に認識することなく(つまりウェブページに埋め込まれるなど)、頻繁に呼び出される[3]。
典型的な脆弱性ベクトル
修正されたビデオファイルによるメディアプレーヤーのファジング
ファジングとは、入力に無効、予期しない、あるいはランダムなデータを与えることによって、プログラムに予期しない動作をさせる一般的な方法である。 データを入力に与えることによって、プログラムに予期せぬ動作をさせる一般的な方法である。
ファジングは深いバグを見つけるために設計されており、開発者がコードの堅牢性を確保するために使用する。 開発者の最高のツールは、ユーザーを悪用するためにも使われることがある。メディアプレーヤーは「フォーマット ストであるはずのメディアプレーヤーでは、破損した実際のビデオファイルが多くのバグを露呈する可能性がある。この結果 この結果、不適切なメモリアクセスが発生し、意図しないメモリへの書き込みが行われる可能性がある[4]。 をメモリに書き込んでしまう可能性がある[4]。幸いなことに、メディアプレーヤーをファジングするには、ファイルフォーマットに関する深い知識が必要です。 破損したファイルは、単にプレーヤーによって無視されます。
動画ファイルにハイパーリンクを埋め込む
より直接的な方法としては、最近のメディアファイルにURLを埋め込む方法がある。
例えば、マイクロソフトのアドバンスト・システム・フォーマット(ASF)では、簡単なスクリプト・コマンドを実行することができる。この場合 "URLANDEXIT "は、特定のアドレスと任意のURLの後に置かれる。このコードが実行されると、ユーザは次のような実行ファイルをダウンロードするよう指示される。 このコードが実行されると、ユーザーは実行ファイルをダウンロードするよう指示され、多くの場合、コーデックを装って、メディアを再生するためにダウンロードするようユーザーに促します。 メディア
OPSWAT マルウェア対策マルチスキャンツールであるMetaDefender Cloud、そのようなファイルの一例があります:
opswat/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
脅威名は "GetCodec "である。この例では、メディアプレーヤーがトロイの木馬をダウンロードするリンクにリダイレクトされています。スキャンされたトロイの木馬は スキャンされたトロイの木馬はこちら。
ファイル・タイプ・エクスプロイトの例
以下の表は、ユーザーを悪意のあるサイトに誘導したり、標的のユーザーシステムからリモートで任意のコードを実行することによって悪用された、一般的なメディアファイル形式の一覧です。 にルーティングさせたり、ターゲットユーザーのシステム上でリモートから任意のコードを実行させたりすることで、悪用されてきた一般的なメディアファイル形式の一覧です。
| ファイル形式 | 検出 | 説明 |
| Windows .wma/.wmv | ダウンローダー-UA.b | デジタル著作権管理の欠陥を悪用 |
| リアルMedia .rmvb | W32/Realor.worm | RealMedia ファイルに感染し、悪意のあるサイトへのリンクを埋め込む。 |
| リアルMedia .rm/.rmvb | ヒューマンクラフト | プロンプトなしに悪意のあるウェブページを起動する |
| QucikTime.mov | ヒューマンクラフト | ポルノサイトへの埋め込みハイパーリンクを開始 |
| アドビ Flash.swf | Exploit-CVE-2007-0071 | DefineSceneAndFrameLabelDataタグの脆弱性 |
| ウィンドウズ.asf | W32/GetCodec.worm | .asfファイルに感染し、悪意のあるウェブページへのリンクを埋め込む。 |
| アドビ Flash.swf | エクスプロイト-SWF.c | AVM2の "new function "オペコードに脆弱性 |
| QuickTime.mov | ヒューマンクラフト | ターゲットユーザーのシステム上で任意のコードを実行する。 |
| アドビ Flash.swf | Exploit-CVE-2010-2885 | ActionScript Virtual Machine 2の脆弱性 |
| アドビ Flash.swf | エクスプロイト-CVE2010-3654 | AVM2 MultiName ボタンクラスに脆弱性 |
| ウィンドウズ .wmv | エクスプロイト CVE-2013-3127 | WMVビデオデコーダにリモートコード実行の脆弱性 |
| マトロスカ・ビデオ .mkv | Exploit-CVE2019-14438 | VLCに脆弱性、対象ユーザーのシステムで特権を持ち任意のコードを実行される |
ソリューション
現在、多くのマルウェア対策ベンダーは、メディアタイプのファイル内のURLシグネチャを探すことで検知するようになっている。OPSWAT
MetaDefender Multiscanningこの技術は、35以上のマルウェア対策エンジンを活用し、既知および未知の脅威の検出を大幅に向上させます。
を大幅に向上させます。 Deep CDRまた、ビデオやオーディオのファイル形式もサポートしており、ゼロデイ攻撃を防ぐことができます。
攻撃を防ぐのに役立ちます。MetaDefender's file-based vulnerability assessmentテクノロジーは、メディアプレーヤー
インストーラの脆弱性を検出することができます。
OPSWAT ソリューションをお持ちでない場合は、メディアファイルにもっと注意を払う必要があります。 未知のコーデックや奇妙なライセンスのダウンロードを受け入れない。常に メディアプレーヤーソフトウェアを常に最新の状態に保ち、脆弱性を回避してください。
参考文献
[2]キラー・ミュージック:ハッカーがMedia プレーヤーの脆弱性を悪用。
[3]デビッド・ティールMedia Software脆弱性を暴く".
[4]Colleen Lewis, Barret Rhoden, Cynthia Sturton.「構造化されたランダムデータによる正確なファズ Media 選手"。
