Domanda:
Virus codificato in video
pasawaya
2012-08-03 13:10:35 UTC
view on stackexchange narkive permalink

Quindi non ho familiarità con la sicurezza IT, ma sono un po 'curioso di qualcosa. Stavo guardando un programma televisivo e ad un certo punto un virus si è diffuso in un ufficio. Indagano e scoprono che il virus è stato codificato in un video ed è stato "attivato" quando il video è stato riprodotto. Quindi la mia domanda è: è possibile? Potrebbe davvero accadere? Ancora una volta, non ho familiarità con la sicurezza IT o la codifica / codec video, quindi perdona la mia ignoranza.

EDIT:

Grazie per tutte le tue risposte. Erano molto interessanti e perspicaci. Se sei interessato, lo spettacolo di riferimento era White Collar, stagione 3, episodio 7 "Taking Account".

Correlato a: http://superuser.com/questions/445366/can-avi-files-contain-a-virus
@AndrewSmith Hai letto correttamente la domanda? Dubito fortemente che tutti in ufficio abbiano una TV ... e anche i computer possono riprodurre video ... giusto? - e gegal, bello spettacolo.
Sette risposte:
#1
+59
Polynomial
2012-08-03 13:15:23 UTC
view on stackexchange narkive permalink

Sì, è possibile.

Il malware probabilmente non sarebbe incorporato nel video stesso, ma il file video sarebbe stato appositamente predisposto per sfruttare una vulnerabilità nel codec o nel lettore multimediale, per ottenere codice esecuzione. L'exploit scaricava quindi un file e lo eseguiva, infettando la macchina.

Questi tipi di exploit erano comuni tra i formati di documenti più diffusi, ad es. PDF. La loro proliferazione li rende un buon bersaglio per gli scrittori di exploit, perché le persone li usano molto e presumono che siano al sicuro. Alla fine della giornata, qualsiasi tipo di file potrebbe potenzialmente contenere un exploit, poiché a un certo punto è coinvolta un'applicazione che esegue codice eseguibile.

Exploit come questo di solito sono buffer overflow attacchi, che alterano il flusso di controllo sovrascrivendo le strutture di dati al di fuori del normale intervallo di memoria di un buffer.

Ulteriori informazioni:

Grazie. Voglio solo vedere se arrivano altre risposte prima di contrassegnarti come risposta. Ti ho fatto +1 nel frattempo.
Ovviamente, exploit del genere raramente funzionano contro più di un tipo di software di lettura / riproduzione allo stesso tempo - IE, un bug nel decoder ogg di Windows Media Player non implica che VLC soffra dello stesso problema tecnico. Quindi l'aggressore dovrebbe sapere in anticipo quale client sta utilizzando il bersaglio - o semplicemente sparare scattershot tramite spam e assicurarsi che il virus componga "casa" una volta che colpisce.
Di solito questo è corretto, tuttavia alcuni giocatori usano la stessa libreria condivisa per un dato codec (di solito sullo stesso sistema operativo, ma non sempre) quindi una vulnerabilità espressa in una libreria condivisa potrebbe compromettere la sicurezza di più giocatori (o anche sistemi operativi ). In questo caso, il lettore stesso non è il vero punto di infezione, lo è la libreria.
Chris ha ragione qui. La maggior parte dei giocatori condivide codec e librerie, ad es. ffmpeg, rendendo gli exploit generici più facili da creare.
È del tutto possibile creare un codec video senza possibilità di sfruttamento. Tuttavia, un codec di questo tipo avrebbe una flessibilità limitata.
@JoelCornett Teoricamente, sì, ma in quasi 20 anni di esperienza di programmazione non ho mai trovato un programma senza un singolo bug, figuriamoci uno ad alta intensità di dati e complesso come un codec video.
@Polynomial, Tuttavia, ** praticamente **, quando è stata l'ultima volta che un virus di file multimediali è stato trovato sul popolare lettore VLC?
@Pacerier VLC stesso? [Febbraio 2015] (http://www.videolan.org/security/sa1501.html) è stato l'ultimo bollettino sulla sicurezza di VLC. Ma VLC fa affidamento su tutta una serie di librerie di decodificatori che potrebbero anche essere vulnerabili, ad es. ffmpeg 2.8.6 ha corretto cinque bug che influivano sulla sicurezza nel febbraio 2016. Quindi la vera risposta è "continuamente".
Sei a conoscenza di un lettore di file di testo che esplode su file di testo appositamente predisposti?Lo trovo improbabile, ma mi piacerebbe essere smentito.
@JanDvorak Quello che mi viene in mente è [questa vulnerabilità di vim] (https://www.ubuntu.com/usn/usn-3139-1/), ma ce ne sono altri in vari editor di testo RTF.
#2
+6
Nicktar
2012-08-03 14:56:40 UTC
view on stackexchange narkive permalink

Su h-online (editore it tedesco) è disponibile un bel gioco di un esempio di vita reale. In questo caso si tratta di un video flash intenzionale che contiene diversi attacchi diversi per infettare il computer che cerca di visualizzare il video

#3
+6
Simon
2012-08-03 18:51:05 UTC
view on stackexchange narkive permalink

Oltre alla possibilità di overflow del buffer di @ Polynomial, il "file video" potrebbe effettivamente essere un eseguibile trojan. Ecco un semplice esempio:

  • Un file eseguibile è denominato in modo tale da sembrare un video, come:
     "movie.avi .exe" 
  • L'eseguibile estrae i dati video in esso incorporati, avvia il lettore video e nel frattempo distribuisce il suo payload dannoso.

All'utente sembra che abbia fatto clic su un file video e si è aperto nel loro lettore video proprio come al solito. Invece, sono stati indotti a eseguire il trojan.

Modifica per aggiungere: questo è l'inverso del titolo della tua domanda. Invece di un virus codificato in un video, un video è codificato in un virus.

La tua frase finale non è veramente corretta. Nessuno dei due è codificato in nessuno dei due. È solo un eseguibile con un nome progettato per ingannare le persone.
Questo è un punto giusto, ed è per questo che ho preferito "incorporato" nel mio esempio. Ho mantenuto "codificato" per rispecchiare il titolo della domanda. Naturalmente, c'è anche la possibilità che i dati video non siano contenuti nell'eseguibile e vengano invece scaricati al volo o si trovino già in un altro file sul computer. La parte importante è che il trojan riproduca un video oltre a infettare l'host.
Ci sono anche trojan di questa natura che non tentano di riprodurre un video esca, ma non si adatterebbero allo scenario nella domanda.
Questo è precisamente il motivo per cui in Windows deseleziono sempre "Nascondi estensioni di file".
@7wp, e così posso effettivamente rinominare i file `.txt` in` .py` o qualcos'altro :)
@Wayne Werner, sul serio. Mi piace Windows, ma la decisione di MS di nascondere le estensioni di file per impostazione predefinita mi sbalordisce poiché in Windows le estensioni di file giocano un ruolo così critico nel modo in cui Windows gestirà ogni tipo di file. Soprattutto per quanto riguarda l'esecuzione! Non è solo chiedere guai?
@7wp, Non sono ancora sicuro che una * buona * sicurezza sia davvero integrata in Windows, purtroppo. Con * nix avrai centinaia di migliaia (milioni) di utenti che ti chiederanno "WTF stai usando` root` come account predefinito ??!?! " È abbastanza normale avere solo un account amministratore. Anche più impressionante: ho un account non privilegiato e privilegiato al lavoro. Quando eseguo attività di tipo amministratore, Windows inserisce spesso il mio account non amministratore nei riquadri delle autorizzazioni anche se ** non sono un amministratore **. A me, che urla "WTF?!?!"
@7wp Teatro di sicurezza.Puoi ancora essere ingannato dall'inversione unicode.Vedi un file, `history_of_racism`.Facile dici!Abilita la visualizzazione delle estensioni dei file e vedrai `history_of_racism.mp4`.Sembra sicuro, vero?No, il file effettivo è `history_of_rac4pm.msi`, un file di Microsoft Installer.con un carattere di inversione Unicode (RTL o U + 202e) inserito dopo "rac"."4 pm.msi" al contrario è "ism.mp4".
@forest che è il motivo per cui il permesso di esecuzione esplicito di Linux è superiore, perché non ci sono dubbi sulla capacità di eseguire un file.
#4
+4
BЈовић
2012-08-04 18:18:41 UTC
view on stackexchange narkive permalink

Dai un'occhiata al bollettino di questa finestra, che descrive una patch per riparare il parser jpeg (infettato dalla visualizzazione di un'immagine jpeg, ahi).

Quindi, certamente lo è possibile. È solo questione di trovare un buco per eseguire un codice personalizzato. Questo di solito è fatto da una sorta di overflow del buffer (vedi ad esempio qui).

In realtà ho trovato alcuni malware che sfruttano quel bug, molte lune fa. Basta sfogliare una pagina con un JPEG furbo per attivare l'esecuzione del codice.
#5
+3
Andrew Smith
2012-08-03 16:17:29 UTC
view on stackexchange narkive permalink
  • Il runtime Flash utilizza Main Concept H.264 / AAC e il formato container demux MP4 della stessa azienda. Esiste anche il formato fMP4 con metadati molto avanzati. Questo è praticamente un software sicuro.
  • Flash utilizza anche audio MP3, video VP6 e formati audio Nelly Moser con il muxing FLV, anche questo è in qualche modo sicuro, tuttavia non l'ho testato questo.
  • Esistono anche formati Windows Media ASX / WMV / VC-1 / WMA usati da tutti i browser Windows e Windows Media Player OCX
  • Su Linux c'è la sostituzione del lettore VC-1 con mplayer
  • Il plug-in VLC è uno dei più semplici, se l'utente ha un plug-in è facile bloccare il browser
  • L'addon Microsoft H.264 utilizza Windows 7 H264 e il decoder MPEG-2 per riprodurre DVD, raggi blu nonché flussi di trasporto HD
  • Anche il protocollo Shoutcast è ampiamente utilizzato
  • Firefox ha video Theora e audio OGG, che è open source.
  • OSX (MAC / iphone / ipad) ha un decodificatore MPEG-2 TS realizzato da Apple e funziona nel browser Safari
  • Il set top box di Freeview del Regno Unito utilizza libcurl / VLC per riprodurre i video
  • Le Smart TV utilizzano vari librerie open source o le stesse di Sony Playstation (Sony TV)
  • Androi d 4 utilizza anche il decodificatore MPEG-2 tramite browser
  • Il runtime di Silverlight utilizza Windows Media, il decodificatore H.264 di Microsoft su Windows e Microsoft Phone

Ce ne sono molti altri lettori che possono eseguire virus, alcuni televisori utilizzano script completi che possono essere iniettati tramite il segnale satellitare DVB-T terrestre o DVB-S, che a volte viene eseguito per eliminare le scatole dei pirati.

Quindi vedi , puoi guadagnarti da vivere hackerando i formati video. La maggior parte di loro ha dei buchi seri, con il più pericoloso VLC e il concetto principale più sicuro.

Lo spettacolo che hai visto non ha bisogno di essere vero, per eseguire effettivamente questo sul concetto principale stesso non è probabile, tuttavia alcuni formati avevano dei bug in precedenza, ma poiché il lettore adobe ha l'aggiornamento automatico, il problema al momento è molto meglio di 5 anni fa, quando è stato girato lo spettacolo

Aspetta ... sto leggendo "Flash" e "è sicuro" nella stessa frase? Dovrei andare a controllare con il mio oculista.
Ben confrontato con altri giocatori in termini di routine video è molto stabile, a differenza di Vlc
** Flash Player è sicuro **, immagino codifichi programmaticamente il virus con un video swf!
#6
+1
VIvek Srivastava
2012-08-03 19:43:08 UTC
view on stackexchange narkive permalink

Sì, è possibile. Il lettore video potrebbe avere una vulnerabilità che può essere sfruttata tramite, ad esempio, un buffer overflow.

Quando il particolare file video creato dall'hacker viene riprodotto su quel particolare lettore video, il lettore si bloccherà e la connessione verrà trasferito all'host e l'hacker potrà accedere al tuo sistema da remoto ogni volta che sarai connesso a Internet.

#7
  0
Bob S.
2016-12-22 01:24:33 UTC
view on stackexchange narkive permalink

In effetti, non solo è possibile, ma posso confermare che esiste "in natura".

Ho appena scaricato un "programma televisivo" in formato .mp4, che conteneva un virus autoestraente / in esecuzione. Quando l'ho riprodotto (con VLC), è andato in tilt e il mio AV ha presentato un avviso. Fortunatamente, il mio AV è intervenuto e ha ucciso il "cattivo", ma solo dopo che si è auto estratto (e ha tentato di eseguire).

Una successiva scansione di un nuovo download del file .mp4 ha mostrato (e ucciso) un self-x incorporato.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...