Megtévesztés + DRM védett fájlok = fertőzés

2013. június 12. 13:21 - Csizmazia Darab István [Rambo]

Egy klasszikus social engineering trükk bukkant fel új köntösben. Arra még mindenki emlékezhet, hogy a korábbi klasszikus Windows-os átverést, amely egy videó előtt/helyett állítólagos hiányzó kodekre figyelmeztet, még a Macintosh rendszerekre is elkészítették 2007-ben. Most pedig kifejezetten az .ASF médiafájlokra jár rá a rúd, mindjárt megmutatjuk azt is, hogyan és miképp.

Ezúttal is kicsit hasonló a helyzet, viszont a támadók a Microsoft által kifejlesztett ASF (Advanced Systems Format) állományokat használják fel támadásra. Az ASF konténer kiterjesztés audio és videó állományokat jelenthet, amelyben az objektumok mind a hang kódolásában, mind pedig a videó kodekekben különfélék lehetnek, pl. AVI, MPEG, 3GP, WMV, WMA, MP3. A formátum egyik előnye egyébként, hogy a lejátszás még a teljes letöltődés befejezése előtt elkezdődhet, ám van az ASF-ekben egy további érdekesség is, amit most felismert gyengepontként a kártevőterjesztők el is kezdtek szépen kihasználni.

A Windows Media Rights Manager eredetileg azt teszi lehetővé, hogy egy DRM (Digital Rights Management) által védett ASF lejátszása közben ellenőrizhesse, vajon van-e a felhasználónak érvényes engedélye a konkrét média felhasználására, és ha nincs neki, úgy a lejátszás helyett egy előre meghatározott - fájlba bedrótozott - tartalomszolgáltató URL-jét jeleníti meg neki.

Pontosan ennek a sémának a manipulálása vezetett odáig, hogy preparált, szándékosan kártékony linket tartalmazó médiafájlok révén tulajdonképpen tetszőleges oldalra átterelhető a felhasználó, és ha még a végén sem fog gyanút, örömmel kattint is a megfelelő plugin reményében. A mellékelt képek a VirusTotal blogról származnak, és jól mutatják, hogy egy ilyen WMV állomány hogyan visz minket például a xvidprox.com-ra, vagy akárhová, hogy a "kötelező" bővítményt letölthessük.

A vírusvédelmi alkalmazások egy része már sikeresen felismeri az ilyen típusú kártevőket, ennél például ez "WMA/TrojanDownloader.Wimad.D" trójaiként került az ESET által detektálásra. És hogy még hatékonyabb legyen maga a VirusTotal vizsgálat is, a készítők létrehoztak az ASF állományoknál új "File detail" füleket is, ahol további izgalmas részleteket lehet megnézni, többek közt éppen a korábban említett tartalom formátumához és DRM védelméhez rendelt külső URL sztringek tartalmát.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása