Los archivos de video generalmente no se consideran tipos de archivos potencialmente maliciosos o infectados, pero es posible que el malware se incruste o se disfrace como un archivo de video. Debido a este concepto erróneo común, los archivos de audio y video son vectores de amenazas interesantes para los creadores de malware.
¿Por qué la preocupación por los archivos de video?
Los reproductores de medios son software de uso frecuente, los usuarios tienden a usarlos durante un largo período de tiempo, dejándolos abiertos durante otras tareas y cambiando los flujos de medios con frecuencia.
Muchas vulnerabilidades se encuentran en los reproductores multimedia. NIST muestra más de 1200 vulnerabilidades entre 2000 y 2014 . A principios de 2020, NIST registró una nueva vulnerabilidad de alta gravedad, CVE-2020-0002, en Android Media Framework.
El contenido de video atractivo y el Internet de alta velocidad impulsan a los usuarios a descargar y compartir sin pensar, y dado que estos archivos se perciben como relativamente inofensivos, es probable que los usuarios reproduzcan los archivos que se les proporcionan.
Los formatos de archivo involucrados son flujos binarios y tienden a ser bastante complejos. Se necesita mucho análisis para manipularlos, y los cálculos de reproducción pueden dar lugar fácilmente a errores.
El archivo suele ser grande; Es probable que los usuarios se salten las soluciones de escaneo para evitar el impacto en el rendimiento.
Se perciben como relativamente inofensivos: es probable que los usuarios reproduzcan los archivos que se les proporcionan.
Hay una amplia variedad de diferentes reproductores de audio y muchos códecs y complementos, todos escritos por personas que generalmente no se enfocan en la seguridad.
Los usuarios descargan videos de muchas fuentes no confiables y los videos se reproducen con privilegios y prioridad bastante altos.
Los videos a menudo se reproducen sin el reconocimiento explícito del usuario (es decir, incrustados en una página web).
Vectores de vulnerabilidad
Fuzzing el reproductor multimedia con un archivo de video modificado
Fuzzing es un método genérico para obligar a un programa a comportarse de manera inesperada al proporcionar datos no válidos o aleatorios para las entradas.
Fuzzing está diseñado para encontrar errores profundos y los desarrolladores lo utilizan para garantizar la solidez del código; sin embargo, la mejor herramienta de un desarrollador también se puede usar para explotar al usuario. Para los reproductores multimedia, que se supone que son de "formato estricto", un archivo de video corrupto real puede exponer muchos errores, la mayoría causados por punteros nulos sin referencia. Esto da como resultado un acceso inadecuado a la memoria, lo que brinda la posibilidad de escribir en la memoria algo que no está destinado a ser escrito .
Incrustar hipervínculos en un archivo de video
Un método más directo es incrustar una URL en archivos multimedia modernos.
Por ejemplo, el formato de sistema avanzado (ASF) de Microsoft permite ejecutar comandos de secuencias de comandos simples. En este caso, "URLANDEXIT" se coloca en una dirección específica y después de cualquier URL. Cuando se ejecuta este código, se indica al usuario que descargue un archivo ejecutable, a menudo disfrazado como un códec, y se le solicita que lo descargue para reproducir los medios.
MetaDefender Cloud, la herramienta de análisis de malware múltiple de OPSWAT, tiene un ejemplo de dicho archivo: https://metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information .
El nombre de la amenaza es "GetCodec". En este ejemplo, el reproductor multimedia fue redirigido a un enlace para descargar un troyano. Vea el troyano escaneado aquí .
Ejemplos de exploits de tipo de archivo
A continuación, se muestra una tabla que enumera los formatos de archivos de medios populares que se han explotado para reenviar al usuario a sitios web maliciosos o ejecutar código arbitrario de forma remota en los sistemas.
Formato de archivo | Detección | Descripción |
Windows .wma/.wmv | Downloader-UA.b | Explore las fallas en la gestión de derechos digitales |
Real Media .rmvb | W32/Realor.worm | Infecta archivos Real Media para anexar enlaces a sitios web maliciosos |
Mídia real .rm/.rmvb | Hecho por humanos | Lanzar páginas web maliciosas sin previo aviso |
QucikTime.mov | Hecho por humanos | Lanza hiperlinks anexados a sitios web pornográficos |
Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnerabilidad en la etiqueta DefineSceneAndFrameLabelData |
Windows.asf | W32/GetCodec.worm | Infecta arquivos .asf para anexar links para páginas Web maliciosas |
Adobe Flash.swf | Exploit-SWF.c | Vulnerabilidad en el codigo de operación de "nueva función" de AVM2 |
QuickTime.mov | Hecha por humanos | Ejecutar código arbitrário en el sistema del usuário de destino |
Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnerabilidad en ActionScript Virtual Machine 2 |
Adobe Flash.swf | Exploit-CVE2010-3654 | Vulnerabilidad en la clase de botón AVM2 MultiName |
Windows .wmv | Exploit CVE-2013-3127 | Vulnerabilidad en la ejecución remota de código del decodificador de vídeo WMV |
Matroska Video .mkv | Exploit-CVE2019-14438 | Vulnerabilidad en el VLC, ejecuta código arbitrário con privilégios en el sistema del usuário de destino |
Soluciones
Muchos proveedores de antimalware ahora han agregado detección al buscar firmas de URL dentro de archivos de tipo de medios. La tecnología OPSWAT MetaDefender Multiscanning aprovecha más de 35 motores antimalware y mejora significativamente la detección de amenazas conocidas y desconocidas. Deep CDR también admite formatos de archivos de video y audio y puede ayudar a prevenir ataques de Día Cero.La tecnología de evaluación de vulnerabilidades basada en archivos de MetaDefender puede detectar vulnerabilidades en los instaladores de reproductores multimedia antes de instalarlos.
Si no tiene soluciones OPSWAT, debe prestar más atención a los archivos multimedia, no ver archivos que no sean de confianza, nunca ejecutar reproductores multimedia con privilegios elevados y no aceptar descargas de códecs desconocidos o licencias extrañas. Mantenga siempre actualizado el software de su reproductor multimedia para evitar vulnerabilidades.
Fuente: OPSWAT
Cuente con International IT para proteger a su empresa de ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.