Wenn sich Malware in Videodateien versteckt

Mehr zum Thema

Unser Blogbeitrag Steganografie: tarnen und täuschen beschreibt die Gefahr durch sogenannten „Payload“ im nicht sichtbaren Hintergrund von Bilddateien. Ein Doppelklick reicht aus, und schon wird die versteckte Malware ausgeführt oder nachgeladen.

Wenn das lustige Katzenvideo viral geht – mitsamt Virus

Eigentlich validiert die Dateityp-Überprüfung den Dateityp. Jedoch kann man weder dem Content-Type-Header noch dem Erweiterungsnamen, der den Dateityp definiert, voll vertrauen, da beides gefälscht werden kann. Spoofing ist der Überbegriff für diese Art der Täuschung, Verschleierung und Manipulation.

Leider überprüfen auch viele Mediaplayer die Struktur von Videodateien nicht vollständig, und diese Sicherheitslücke ist ein gutes Versteck für Malware im Video.

Zwei Beispiele zeigen, wie Angreifer Schwachstellen ausnutzen konnten:

• Der VLC Media Player 3.0.11 hatte die Sicherheitslücke CVE-2021-25801, der es Angreifern ermöglichte, über eine manipulierte AVI-Datei einen Lesevorgang auszulösen, der Daten aus einem Puffer außerhalb der vorgesehenen Grenzen liest. Das führte zu Abstürzen, falschem Programmverhalten oder Offenlegung vertraulicher Informationen.
• Der CVE-2019-14553 im VLC Media Player 3.0.7.1 kann eine Use-after-free-Schwachstelle verursachen – eine Art Speicherbeschädigungsfehler, bei dem eine Anwendung versucht, freigegebenen Speicher zu nutzen, was zu Abstürzen, unerwarteten Ergebnissen oder der Ausführung böswilliger Programme führt.

Auch Standardfunktionen lassen Tür und Tor offen

Eine weitere Angriffsmethode missbraucht eine legitime Media-Player-Funktion, um Malware über Videos zu verbreiten. Ein Angriffsvektor nutzt z.B. die Standardfunktion Script Command, eine wesentliche Funktion im Windows Media Player. Dieser Befehl ermöglicht dem Media-Player die Interaktion mit einem Browser während der Datei-Wiedergabe, um einen Videocodec herunterzuladen oder zu verfolgen – trotz des dadurch entstehenden Risikos. Eine WMV-Videodatei basiert auf dem Containerformat Microsoft Advanced Systems Format (ASF) und wird mit Windows Media-Komprimierung verpackt.

ASF kann ein Skriptbefehlsobjekt enthalten, das zum Streamen von Text und zum Bereitstellen von Befehlen verwendet wird. Diese wiederum können Elemente innerhalb der Clientumgebung steuern. ASF ermöglicht einfache Skriptbefehle wie URLANDEXIT, die bei der Ausführung automatisch eine in die Videodatei eingebettete URL im Standardbrowser starten. Auf der Seite wird das Opfer dann zum Herunterladen eines Plugins, Updates oder Codecs aufgefordert, welches zum Abspielen des Videos angeblich unbedingt nötig ist – in Wirklichkeit aber als Schadsoftware das System des Anwenders kompromittiert.

Süß, aber gut getarnt. Hat sie es einmal ins System geschafft, lässt die Schadsoftware die Katze aus dem Sack.

Richtig komfortabel wird Deep CDR durch die Rekonstruktionsfunktion. Die Lösung rekonstruiert den Video-Inhalt für volle Funktionalität, so dass man das Video gefahrlos ansehen kann (Benutzer mögen ja Katzenvideos, aber keine böswillig manipulierten). Beim Desinfizieren einer infizierten Datei wird u.a. der Befehl URLANDEXIT erkannt und entfernt, genau wie Script Command-Objekte. Die neue, rekonstruierte Datei bleibt voll nutzbar, aber es ist nicht mehr möglich, damit Schadsoftware nachzuladen.

Adaptive Bedrohungsanalyse enthüllt Malware

Kann Malware durch intelligente Tarnung signaturbasierte (statische) Antivirenlösungen überlisten, spricht man von evasiver (flüchtiger) Malware. Bereits im Internet Security Report Q4/2019 von Watchguard wurde eine Zunahme auf insgesamt 68 % am Gesamtvolumen von Malware festgestellt. Dieser Malware ist mit traditionellen Antivirenlösungen alleine nicht mehr beizukommen. Moderne Antivirenlösungen sind gefragt, welche gepaart mit KI / ML und verhaltensbasierter Detektion und dem Zeitvorsprung durch Schwarmintelligenz – durch Threat Intelligence – Ihre IT und OT wirkungsvoll schützen.

Eine weitere wirkungsvolle Schutzmaßnahme ist eine Sandbox der neuesten Generation. Diese nutzt adaptive Bedrohungsanalyse, um tiefer in das Verhalten und die Fähigkeiten der Malware einzutauchen. Dadurch kann sie Zero Day Malware, eine stärkere Extraktion von Indicator of Compromise (IOC) und umsetzbare Bedrohungsinformationen erkennen.

Durch die Vorab-Prüfung der WMV-Datei mit Deep CDR und Filescan erhalten Sie tiefere Einblicke in die eventuell enthaltene Bedrohung. Im obigen Beispiel lädt die OPSWAT Sandbox Filescan die Datei von URLANDEXIT herunter und führt eine statische Analyse durch, um risikolos weitere Details zum Verhalten, der Taktik, der Technik und den IOCs der Malware bereitzustellen. Denn eine Bedrohung, die man kennt, kann man wirkungsvoller bekämpfen.

FAZIT

In Videodateien eingebettete Malware-Attacken nutzen wie anderer Schadcode auch Lücken in Ihrer Cyberabwehr, und Schwachstellen in Standard-Applikationen wie dem Windows Media-Player. Reicht die Tarnung der Malware aus, um statische Antivirenlösungen zu überwinden, spricht man von evasiver Malware. Experten empfehlen hier den Einsatz von kaskadierten Sicherheitslösungen. Denn moderne Anti-Malware-Scanner oder noch besser, Anti-Malware Multiscanner in Kombination mit verhaltensbasierter Detektion und adaptiver Bedrohungsanalyse durch eine Sandbox, enttarnen selbst evasive Malware zuverlässig.