視訊檔會包含病毒嗎？

最初發表於2014年2月17日。

影片檔通常不被認為是潛在的惡意或受感染的檔案類型， 但有可能 將惡意軟體嵌入或偽裝成影片檔。由於這種常見的誤解，音訊和 對於惡意軟體編寫者來說，影片檔是有趣的威脅媒介。

為什麼要關注影片檔？

• 多媒體 播放機是經常使用的軟體，使用者往往會長時間使用它們，從而離開它們 在其他任務期間打開，並頻繁切換媒體流。
• 在媒體播放器中發現了許多漏洞。NIST [1] 顯示了從 2000 年到 1,200 多個漏洞 2014 [2].2020 年初，NIST 在 Android 中記錄了一個新的高嚴重性漏洞 CVE-2020-0002 多媒體 框架。
• 有吸引力的影片內容和高速網路導致使用者在不注意的情況下下載和共用，並且由於這些檔案被認為是相對無害的，因此使用者可能會播放提供給他們的檔。
• 所涉及的檔格式是二進位流，往往相當複雜。需要進行大量解析才能 操縱它們，播放計算很容易導致整數錯誤。
• 檔通常很大;使用者可能會跳過掃描解決方案以避免影響性能。
• 它們被認為是相對無害的 - 使用者可能會播放提供給他們的檔。
• 有各種各樣的音訊播放機和許多不同的編解碼器和音訊檔外掛程式，所有 由通常不關注安全的人編寫。
• 使用者從許多不可靠的來源下載影片，並且影片以相當高的許可權和優先順序運行。 例如，在 Windows Vista 中，低特權 Internet Explorer 實例可以在 更高特權的 Windows 多媒體 選手。
• 影片經常在沒有使用者明確確認的情況下被調用（即嵌入到網頁中）[3]。

典型漏洞向量

透過修改的影片檔對媒體播放器進行模糊測試

模糊測試是一種通用方法，透過提供無效、意外或隨機來強制程序出現意外行為 資料到輸入。

模糊測試旨在發現深層錯誤，並被開發人員用於確保代碼的健壯性，但是， 開發人員的最佳工具也可用於利用使用者。對於媒體播放機，據說是“格式 strict“，損壞的真實影片檔可能會暴露許多錯誤，其中大多數是由取消引用空指標引起的。這個結果 在不適當的記憶體存取中，這提供了將不打算寫入的內容寫入記憶體的可能性 被寫成 [4]。幸運的是，模糊測試媒體播放機需要對檔格式有深入的了解，否則 損壞的檔，將被玩家忽略。

在影片檔案中嵌入超連結

透過將URL嵌入到現代媒體檔案中來獲得更直接的方法。

例如，Microsoft 高階系統格式 （ASF） 允許執行簡單的腳本命令。在本例中， “URLANDEXIT”位於特定位址並位於任何URL之後。執行此代碼時，使用者將被導向到 下載可執行檔，通常偽裝成編解碼器並提示用戶下載以播放 媒體。

MetaDefender Cloud, OPSWAT的 反惡意軟體多防毒引擎掃描工具，有一個這樣的檔示例： https://metadefender.opswat.com/results#！/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information。

威脅名稱為“GetCodec”。在此示例中，媒體播放機被重新導向到下載特洛伊木馬的連結。看 掃描的特洛伊木馬 在這裡。

檔案類型漏洞利用範例

下表列出了透過將使用者路由到惡意而利用的流行媒體檔格式 網站或在目標用戶的系統上遠端執行任意代碼。

解決方案

現在，許多反惡意軟體供應商透過查找媒體類型檔案中的URL簽名來增加檢測功能。 OPSWAT MetaDefender 多防毒引擎掃描 技術利用 35+ 反惡意軟體引擎，顯著改善了對 已知和未知威脅。 Deep CDR 還支援影片和音訊檔格式，可以説明防止零時差攻擊 攻擊。 MetaDefender基於 檔的漏洞評估 技術可以檢測媒體播放器中的漏洞 安裝程式。

如果您沒有 OPSWAT 解決方法，需要多加關注媒體檔，不要查看不受信任的檔案，永遠不要 使用提升的許可權運行媒體播放機，並且不接受未知編解碼器或奇怪證照的下載。總是 使您的媒體播放器軟體保持最新狀態以避免漏洞。

引用

[1]國家漏洞資料庫.

[2]殺手音樂：駭客利用 多媒體 播放器漏洞.

[3]大衛·蒂爾。“暴露漏洞 多媒體 軟體”.

[4]科琳·路易斯、巴雷特·羅登、辛西婭·斯特頓。“使用結構化隨機資料精確模糊 多媒體 玩家“。