it-swarm.dev

Virus codificato nel video

Quindi non ho alcuna familiarità con la sicurezza IT, ma sono un po 'curioso di qualcosa. Stavo guardando uno show televisivo e ad un certo punto un virus si diffonde in un ufficio. Indagano e scoprono che il virus è stato codificato in un video ed è stato "attivato" durante la riproduzione del video. Quindi la mia domanda è: è possibile? Potrebbe davvero succedere? Ancora una volta, non ho alcuna familiarità con la sicurezza IT o la codifica/codec video, quindi perdona la mia ignoranza.

MODIFICARE:

Grazie per tutte le tue risposte Erano molto interessanti e perspicaci. Se sei interessato, lo spettacolo di riferimento era White Collar Stagione 3 Episodio 7 "Taking Account".

53
pasawaya

Sì, è possibile.

Il malware probabilmente non verrebbe incorporato nel video stesso, ma il file video sarebbe appositamente predisposto per sfruttare una vulnerabilità nel codec o nel lettore multimediale, per ottenere l'esecuzione del codice. L'exploit avrebbe quindi scaricato un file ed eseguito, infettando la macchina.

Questi tipi di exploit sono stati comuni tra i formati di documenti più diffusi, ad es. PDF. La loro proliferazione li rende un buon obiettivo per gli scrittori di exploit, perché le persone li usano molto e presumono che siano al sicuro. Alla fine della giornata, qualsiasi tipo di file potrebbe potenzialmente contenere un exploit, poiché ad un certo punto è coinvolta un'applicazione che esegue codice eseguibile.

Gli exploit in questo modo sono generalmente buffer overflow attacchi, che alterano il flusso di controllo sovrascrivendo le strutture di dati al di fuori del normale intervallo di memoria di un buffer.

Ulteriori informazioni:

59
Polynomial

C'è un bel play-by-play di un esempio nella vita reale di questo su h-online (editore tedesco). In questo caso è un video flash intenzionale che contiene diversi attacchi per infettare il computer nel tentativo di visualizzare il video

6
Nicktar

Oltre alla possibilità di overflow del buffer di @ Polynomial, il "file video" potrebbe effettivamente essere un eseguibile trojan. Ecco un semplice esempio:

  • Un file eseguibile è chiamato in modo tale che sembra essere un video, come:
    "movie.avi .exe"
  • L'eseguibile estrae i dati video incorporati, avvia il tuo lettore video e nel frattempo distribuisce il suo payload dannoso.

Per l'utente, sembra che abbiano fatto clic su un file video e che si sia aperto nel loro lettore video proprio come di consueto. Invece, sono stati indotti a eseguire il trojan.

Modifica per aggiungere: questo è l'inverso del titolo della domanda. Invece di un virus codificato in un video, un video viene codificato in un virus.

6
Simon

Dai un'occhiata a bollettino di questa finestra , che descrive una patch per correggere il parser jpeg (infetto dalla visualizzazione di un'immagine jpeg, ahi).

Quindi, certamente è possibile. Si tratta solo di trovare un buco per eseguire un codice personalizzato. Questo di solito viene eseguito da un qualche tipo di buffer overflow (vedere ad esempio qui ).

4
BЈовић
  • Il runtime Flash utilizza Main Concept H.264/AAC e il formato del contenitore demux MP4 della stessa azienda. Esiste anche il formato fMP4 con metadati molto avanzati. Questo è un software praticamente sicuro.
  • Flash sta anche usando l'audio MP3, i video VP6 e i formati audio Nelly Moser con il muxing FLV, anche questo è abbastanza sicuro, ma non ho mai provato questo.
  • Esistono anche i formati Windows Media ASX/WMV/VC-1/WMA utilizzati da tutti i browser Windows e Windows Media Player OCX
  • Su Linux c'è la sostituzione del lettore VC-1 con mplayer
  • Il plug-in VLC è uno dei più semplici, se l'utente ha un plug-in è facile bloccare il browser
  • Il componente aggiuntivo Microsoft H.264 utilizza il decodificatore Windows 7 H264 e MPEG-2 per riprodurre DVD, raggi blu e flussi di trasporto HD
  • Anche il protocollo Shoutcast è ampiamente utilizzato
  • Firefox ha video Theora e audio OGG, che è open source.
  • OSX (MAC/iphone/ipad) ha il decoder TS MPEG-2 fatto da Apple e funziona nel browser Safari
  • Il set top box Freeview nel Regno Unito utilizza libcurl/VLC per riprodurre i video
  • Le Smart TV utilizzano varie librerie open source o le stesse di Sony PlayStation (Sony TV)
  • Android 4 utilizza anche il decoder MPEG-2 tramite browser
  • Il runtime Silverlight utilizza Windows Media, decodificatore H.264 di Microsoft su Windows e Microsoft Phone

Ci sono molti altri giocatori che possono far funzionare virus, alcuni televisori utilizzano script completi che possono essere iniettati attraverso il segnale satellitare DVB-T terrestre o DVB-S, che a volte viene eseguito per eliminare le scatole dei pirati.

Come vedi, puoi guadagnarti da vivere semplicemente hackerando i formati video. La maggior parte di loro ha dei buchi seri, con il più complicato è VLC e il concetto principale più sicuro.

Lo spettacolo che hai visto non deve necessariamente essere vero, per eseguirlo effettivamente sul concetto principale stesso non è probabile tuttavia alcuni formati presentassero bug in precedenza, ma poiché il lettore Adobe si è auto-aggiornato, il problema è molto meglio al momento rispetto a 5 anni fa, quando lo spettacolo è stato girato

3
Andrew Smith

Sì, è possibile. Il lettore video potrebbe avere una vulnerabilità che può essere sfruttata tramite, ad esempio, un buffer overflow.

Quando il particolare file video creato dall'hacker viene riprodotto su quel particolare lettore video, il lettore si blocca e la connessione viene trasferita all'host e l'hacker può accedere al sistema in remoto ogni volta che si è connessi a Internet.

1

In realtà, non è solo possibile, ma posso confermare che esiste "allo stato brado".

Di recente ho scaricato un "programma televisivo" in formato .mp4, che conteneva un virus autoestraente/in esecuzione. Quando l'ho giocato (con VLC), è saltato fuori e il mio AV ha presentato un avviso. Fortunatamente, il mio AV è intervenuto e ha ucciso il "cattivo", ma solo dopo che si è auto-estratto (e ha cercato di eseguire).

Una successiva scansione di un nuovo download di .mp4 ha mostrato (e ucciso) un self-x incorporato.

0
Bob S.