it-swarm-eu.dev

In Video codierter Virus

Ich bin also überhaupt nicht mit IT-Sicherheit vertraut, aber ich bin ein bisschen neugierig auf etwas. Ich habe eine Fernsehsendung gesehen und irgendwann verbreitet sich ein Virus in einem Büro. Sie untersuchen und finden heraus, dass der Virus in einem Video codiert und beim Abspielen des Videos "aktiviert" wurde. Meine Frage ist also, ist das möglich? Könnte das tatsächlich passieren? Auch hier bin ich weder mit IT-Sicherheit noch mit Videokodierung/Codecs vertraut. Verzeihen Sie mir meine Unwissenheit.

BEARBEITEN:

Vielen Dank für alle Ihre Antworten. Sie waren sehr interessant und aufschlussreich. Wenn Sie interessiert sind, war die Show in Referenz White Collar Staffel 3 Episode 7 "Berücksichtigung".

53
pasawaya

Ja das ist möglich.

Die Malware würde wahrscheinlich nicht in das Video selbst eingebettet sein, aber die Videodatei wurde speziell entwickelt, um eine Sicherheitsanfälligkeit im Codec oder Media Player auszunutzen und die Codeausführung zu erreichen. Der Exploit würde dann eine Datei herunterladen und ausführen und den Computer infizieren.

Diese Arten von Exploits waren unter gängigen Dokumentformaten üblich, z. PDF. Ihre Verbreitung macht sie zu einem guten Ziel für Exploit-Autoren, da die Leute sie häufig benutzen und davon ausgehen, dass sie in Sicherheit sind. Letztendlich könnte jeder Dateityp möglicherweise einen Exploit enthalten, da irgendwann eine Anwendung beteiligt ist, die ausführbaren Code ausführt.

Exploits wie diese sind normalerweise Pufferüberlauf Angriffe, die den Kontrollfluss ändern, indem Datenstrukturen außerhalb des normalen Speicherbereichs eines Puffers überschrieben werden.

Mehr Info:

59
Polynomial

Es gibt ein ziemlich schönes Play-by-Play eines realen Beispiels dafür auf h-online (deutscher Verlag). In diesem Fall handelt es sich um ein spezielles Flash-Video, das verschiedene Angriffe enthält, um den Computer zu infizieren, der versucht, das Video anzuzeigen

6
Nicktar

Neben der Pufferüberlaufmöglichkeit von @ Polynomial könnte die "Videodatei" tatsächlich eine ausführbare Trojaner-Datei sein. Hier ist ein einfaches Beispiel:

  • Eine ausführbare Datei wird so benannt, dass es sich um ein Video handelt, z. B.:
    "movie.avi .exe"
  • Die ausführbare Datei extrahiert die darin eingebetteten Videodaten, startet Ihren Videoplayer und stellt währenddessen seine böswillige Nutzlast bereit.

Dem Benutzer scheint es, dass er auf eine Videodatei geklickt hat und diese wie gewohnt in seinem Videoplayer geöffnet hat. Stattdessen wurden sie dazu gebracht, den Trojaner auszuführen.

Zum Hinzufügen bearbeiten: Dies ist die Umkehrung Ihres Fragentitels. Anstelle eines in einem Video codierten Virus wird ein Video in einem Virus codiert.

6
Simon

Werfen Sie einen Blick auf das Bulletin dieses Fensters , das einen Patch zum Beheben des JPEG-Parsers beschreibt (infiziert durch Anzeigen eines JPEG-Bildes, autsch).

Es ist also durchaus möglich. Es geht nur darum, eine Lücke zu finden, um einen benutzerdefinierten Code auszuführen. Dies geschieht normalerweise durch eine Art Pufferüberlauf (siehe zum Beispiel hier ).

4
BЈовић
  • Die Flash-Laufzeit verwendet das Hauptkonzept H.264/AAC sowie das MP4-Demux-Container-Format derselben Firma. Es gibt auch ein fMP4-Format mit sehr fortgeschrittenen Metadaten. Dies ist ziemlich sichere Software.
  • Flash verwendet auch MP3-Audio-, VP6-Video- und Nelly Moser-Audioformate mit FLV-Muxing. Dies ist ebenfalls etwas sicher, ich habe dieses jedoch nicht getestet.
  • Es gibt auch Windows Media ASX/WMV/VC-1/WMA-Formate, die von allen Windows Browsern und Windows Media Player OCX verwendet werden
  • Unter Linux gibt es einen VC-1-Player-Ersatz durch mplayer
  • Das VLC-Plugin ist eines der einfachsten. Wenn der Benutzer ein Plugin hat, kann der Browser leicht abstürzen
  • Das Microsoft H.264-Addon verwendet Windows 7 H264- und MPEG-2-Decoder zum Abspielen von DVDs, Blaustrahlen sowie HD-Transportströmen
  • Das Shoutcast-Protokoll ist ebenfalls weit verbreitet
  • Firefox bietet Theora-Video und OGG-Audio, Open Source.
  • OSX (MAC/iphone/ipad) verfügt über einen MPEG-2 TS-Decoder, der von Apple] ausgeführt wird und im Safari-Browser funktioniert
  • UK Freeview Set Top Box verwendet libcurl/VLC, um die Videos abzuspielen
  • Smart-TVs verwenden verschiedene Open-Source-Bibliotheken oder dieselben wie auf der Sony PlayStation (Sony TV).
  • Android 4 verwendet den MPEG-2-Decoder auch über den Browser
  • Die Silverlight-Laufzeit verwendet Windows Media, H.264-Decoder von Microsoft unter Windows und Microsoft Phone

Es gibt viele andere Player, auf denen Viren übertragen werden können. Einige Fernsehgeräte verwenden vollständige Skripte, die über das terrestrische DVB-T- oder DVB-S-Satellitensignal eingespeist werden können, das manchmal zum Entfernen der Piratenboxen ausgeführt wird.

Sie können also Ihren Lebensunterhalt nur durch das Hacken von Videoformaten verdienen. Die meisten von ihnen haben ernsthafte Löcher, wobei das zweifelhafteste VLC und das sicherste Hauptkonzept ist.

Die Show, die Sie gesehen haben, muss nicht wahr sein. Um dies tatsächlich für das Hauptkonzept selbst durchzuführen, ist es unwahrscheinlich, dass einige Formate zuvor Fehler aufwiesen. Da der Adobe-Player jedoch über ein automatisches Update verfügt, ist das Problem derzeit viel besser als vor 5 Jahren. als die Show gedreht wurde

3
Andrew Smith

Ja, es ist möglich. Der Videoplayer kann eine Sicherheitsanfälligkeit aufweisen, die über einen Pufferüberlauf ausgenutzt werden kann.

Wenn die vom Hacker erstellte bestimmte Videodatei auf diesem bestimmten Videoplayer abgespielt wird, bleibt der Player hängen und die Verbindung wird zum Host übertragen. Der Hacker kann jedes Mal, wenn Sie mit dem Internet verbunden sind, remote auf Ihr System zugreifen.

1

Tatsächlich ist es nicht nur möglich, sondern ich kann bestätigen, dass es "in freier Wildbahn" existiert.

Ich habe kürzlich eine "TV-Show" im MP4-Format heruntergeladen, die einen selbstextrahierenden/ausführenden Virus enthielt. Als ich es abgespielt habe (mit VLC), ist es kaputt gegangen und mein AV hat einen Alarm ausgegeben. Glücklicherweise intervenierte mein AV und tötete das "böse", aber erst nachdem es sich selbst extrahiert hatte (und versuchte auszuführen).

Ein anschließender Scan eines erneuten Downloads der MP4-Datei zeigte (und tötete) ein eingebettetes Self-X.

0
Bob S.