フラッシュバック
TipTopが映画を見ることができない方法についての記事を読んだ後、私はすぐに同様のケースを思い出しました。 どういうわけか、再生を開始する代わりに通常のmp3ファイルを開くと、驚いたことに、未知のWebページが開きました。 最も興味深いのは、ページがInternet Explorerで開かれたこと(別のブラウザーがデフォルトでインストールされているという事実にもかかわらず)であり、そのページで、ファイルの作成者はIEの特別なエクスプロイトを追加することもできます。その瞬間、私はエクスプロイトページについて考えていませんでした。ファイルを慎重に分析し、問題を整理する代わりに、単に削除しました。 システムの異常な動作を見たときに私が考えた唯一のことは、誰かが自分のサイトをスピンアップするのに非常に独創的だということです。 それは数年前ですが、それ以来私はそのようなケースを見ていません。 ビデオウイルスに関する記事を読んだ後、少なくとも今回は、世界中で最も無害で一般的なファイルの安全性を確認する機会を逃してはならないと判断しました。
ビデオファイル
そして、尊敬されるTipTopは 、ファイルへのリンクを示すコメントを残したので、時間を無駄にせず、急流ファイルをすぐにダウンロードしました。 しかし、私は一人ではありませんでした-同時に、同じビデオファイルが、さらに15人ほどダウンロードされ、分析したいと思っていました。 しかし今、私は彼らのほとんどが異なる意図を持っている可能性が高いことに気付き、彼らは今日親族©がないことを知らなかった。他のプレーヤーがこのファイルを再生できないことを知って、ダウンロードが完了した後、すぐにWindows Media Playerでそれを開きました。最初に目にしたのは、「ダウンロードメディア使用権」です。
その後、より説得力のあるメッセージが表示され、License-Installerファイルをダウンロードするように提案されましたが、これは既にアンチウイルスによって既にチェックされており、100%クリーンであることが判明しました。
メッセージを注意深く確認した後、[今すぐダウンロード]ボタンをクリックし、ウイルス対策からの反応を見越して、 license.compress.toサーバーからファイルをダウンロードしようとする多くの人々に馴染みのあるウィンドウを見ました。
そして、最初のウィンドウにfree-license.imgpop.comサーバーが示されている場合、なぜこの素晴らしいファイルがlicense.compress.toからライセンスをダウンロードすることを提供するのかという最初の質問が生じました。 問題が何であるかを知るために、私は両方のサイトを訪れ、そこで何かおいしいものを見つけたいと思ったが、予想通り、そこには何も見つからなかった。
DRM保護
その後、最初に頭に浮かんだのは、「スニファーを起動する」ことでしたが、中止され(そして正しく行われました)、Hexエディターでファイルを開くことにしました。 Hexエディターで150 MBのファイルを開きましたが、幸いなことにすべてが非常に簡単でした。すでに20行目でこのテキストを見つけました。
もっと面白くなってきました。 ページを開きましたhtt://free-license.imgpop.com/venuf.php?Id = Movie_0001.wmv 、ページにリダイレクト(HTTP / 1.1 302): http://free-license.imgpop.com/venuf/index .htm 、そしてそこに私はおなじみの画像、ほんの少し大きく、そしてブラウザでさえ見ました:
すべてが順調に進んでおり、少し実験したいので、ビデオファイルから自分のリンクに変更することにしました。 しかし、行を変更した後でも、WMPでもファイルを開くことができず、何をすべきかわからないことがわかりました。行が何であるかをGoogleに尋ねました。WRMHEADERversion = '2.0.0.0' 。 16進エディターを使用して見つかりましたか?
答えは昼間のように短く明確でした-私はビデオファイルのDRM保護を扱っています。 つまり、合法かつかなり説得力のある方法を使用して、攻撃者が悪意のあるファイルを成功裏に自信を持って広めることができる方法を発見しました:まず、ビデオファイルが感染していることをアンチウイルスが検出せず、次に、ほとんどのユーザーが信頼するマイクロソフトは間違いなくそのようなファイルを起動します。
さらに、DRMで保護されたファイルを開くことができるのはWMPだけではありません。 プレーヤーの完全なリストは見つかりませんでしたが、Nero ShowTimeはDRMをサポートしていると自信を持って言えますが、WMPとは異なり、より慎重に反応します...ライセンスのダウンロードを確認した場合にのみ、WebページがIEで開きます(ブラウザではないにもかかわらずデフォルトで)。
そして今、最も興味深いのは、ファイル拡張子を.wmvから.asfまたは.wmaに変更しても、何も変わらないことです。つまり、プレーヤーは引き続きメディアファイルを再生し、最も危険な場合、ほとんどの場合、.wmaファイルはWindowsで開かれますメディアプレーヤー ちなみに、Hexエディターでビデオファイルを開いた後、便宜上、不要なバイトを削除したため、ファイルサイズが5.31KBになったことを忘れていました。
インターネットエクスプローラー
おそらく、多くの人が「これには危険はありません! ライセンスをダウンロードしません! とにかく、Internet Explorer、WMP、およびビデオファイルはどこにありますか?」 最初は、「キャンセル」ボタンがあるのでそう思いましたが、判明したように、危険性は小さくなく、ファイルがWMPで開かれた場合、「キャンセル」は誰も保存しません。 そして、Internet Explorerは同じブラウザ、ウェブサイトを閲覧するためのソフトウェアです...DRM保護を破ることができるという情報を見つけましたが、そうしませんでした。 最初に、リンクを変更できるかどうかわかりませんでした。次に、より簡単な方法を選択しました。 hostsファイルに、次の行を追加しました。
127.0.0.1 free-license.imgpop.com
ローカルサーバーのルートにvenuf.phpファイルを作成し、WMPを使用してビデオクリップを開きました-数秒後に次のメッセージが表示されました。
次に、 alert()を使用して、JavaScriptをサポートしているかどうかを試すことにしました。その結果、空白のページが表示されました。 本当にうまくいかないと思ったのですが、直観を結びつけて、 アラート()関数をdocument.write()にすばやく変更しました。 その結果、笑顔が生まれました。今回はページが空ではなかったため、Windows Media PlayerはJavaScriptをサポートしています。
今、メディアプレーヤーはWebページを開くことができ、JavaScriptをサポートすることさえできるという考えに悩まされました。 この珍しいプレーヤーが何であるかを知りたいので、彼はvenuf.phpファイルに次の行を追加しました。
echo $_SERVER['HTTP_USER_AGENT'];
MSIE 8.0をインストールしていますが、次のメッセージを受け取りました。
最後に、JavaScriptで記述されたMSIEの1つのエクスプロイトをチェックして、ブラウザーのサービス拒否を引き起こすことにしました。 ページにエクスプロイトを追加し、ビデオファイルを開き、点滅する前に、Windowsは「Windows Media Playerが動作を停止しました」と言います。
ご存知のように、ビデオファイルを再生しようとすると、WMPは強制的に切断されました。つまり、MSIE用に設計されたエクスプロイトに対して脆弱です。 私は1つのエクスプロイトのみをチェックしましたが、メディアファイルのセキュリティに関する私の理解を変えるにはこれで十分でした。
追記の代わりに
この記事の最後の行を書いた後、私は突然1つのアイデアを思いつきました。最も人気のあるマルチメディアプレーヤーの1つであるWinampをダウンロード、インストール、テストします。 私がやった...そして、ファイルを再生しようとすると、次のメッセージが表示されました。
すべてがNero ShowTimeと同じであると確信していましたが、好奇心から「はい」ボタンをクリックする必要がありました... IEを起動する代わりに、次のように表示されました。
問題が何であるかを考えて、すぐに問題が何であるかを理解しませんでしたが、数秒後、MSIEのエクスプロイトコードがvenuf.phpファイルに残っていたことを思い出しました。 次に、 $ HTTP_USER_AGENT変数を使用して、WMPと同様に、Winampが独自の目的で
確かに、Windows Media Playerとは異なり、Winampはライセンスファイルのダウンロード元を警告しませんが、右クリックを使用してページのソースコードを表示できます...
おわりに
一見、すべてが見た目ほど怖いわけではありませんが、そのようなファイルを開くことで、ユーザーがエクスプロイトの起動を止めることはできず、アンチウイルスプログラムは新しいエクスプロイトであるため、助けられないという事実に注意を喚起したいと思います。ほとんどの場合、ウイルス対策データベースにはまだ追加されていません。すべてのユーザーが他のオーディオおよびビデオプレーヤーをインストールしているわけではないことを忘れないでください。 それでも、待ちに待ったファイルをダウンロードするために(せいぜい)2時間待っただけで、再生されていないことがわかり、それを削除するだけで、「このプレーヤーでファイルを開かないでください!」 。
UPD:
保護
起こりうる攻撃のリスクを大幅に減らすために、DRMで保護されたファイルのライセンスの自動取得をWMPで無効にすることをお勧めします。 これを行うには、[オプション]を開き、[ プライバシー ]タブで[ 保護されたコンテンツのライセンスを自動的に取得する]オプションをオフにします(ファイルの再生または同期時に使用権を自動的にダウンロードします)。
ここで、ファイルを開くと、WMPは「本当にWebページを開いてライセンスを取得したいのか」と尋ねます。
開発者は危険を警告し、「Webページにはコンピューターにとって危険な要素が含まれている可能性がある」ことを知っているにもかかわらず、デフォルトではこのオプションをオフにしています。 奇妙ですね。
UPD 2:( コメントしてくれたDragonizer habrazerに感謝します )
ユーザーエージェントがMSIE 7.0として定義されているという事実にもかかわらず、実際にはそうではありません。 実際、WMPはWebページを互換モードで開くため、次のことを意味します。
•ブラウザのバージョン行では、WebブラウザはMSIE 8.0ではなくMSIE 7.0として示されます。
•条件付きコメントとバージョンベクターは、WebブラウザーをIE 8ではなくIE 7として認識します。