Malicious WAV files can be used to deliver malware and cryptominers

[nkrgovic]

 Evo i par linkova:

https://www.techradar.com/news/malicious-wav-files-can-be-used-to-deliver-malware-and-cryptominers

https://www.cisomag.com/hackers-using-steganography-in-wav-audio-files-to-hide-malware/

 tl;dr :

Moguce je promeniti WAV fajl tako da isporuci mallware na racunar korisnika koji "slusa muziku".

Napadi ukljucuju "reverse shell" napade, koji omogucuju napadacu pristup "kao da sedi za racunarom". On onda dalje moze pokretati sta hoce.

Ovakav mallware nema potpis i nece ga detektovati klasican antivirus software. 

[Nixie]

Ja slušam 95% Flac, a ono malo WAV fajlova što imam to sam uzeo od kuma, lično on je pravio sa svojih CD-ova. Znači za WAV treba izbegavati skidanje fajlova sa tom ekstenzijom (a i retki su).

[Gruja]

Ovaj deo je dosta bitan:

"Each WAV file was coupled with a loader component for decoding and executing malicious content secretly woven throughout the file's audio data,"

Znači ne može sam WAV da zarazi računar. Mora da se koristi neki security propust, da se korisnik navede da sam pokrene program, ili nešto slično što bi omogućilo da se izvrši taj prvi "loader". WAV sadrži ostatak koda, ali isto tako taj kod bi mogao da se smesti i u sliku, pdf, u skoro bilo koju drugu vrstu fajla, ili da se prosto skine sa neta kad se već taj prvi "loader" dočepa kontrole.

[nkrgovic]

 U pravu si, naravno, ali sve jedno - sam loader je dosta mali i ni on nece imati signature koji antivirus detektuje...  tako da i dalje imas problem, ako korisnik misli da je dovoljno da "skenira" i to je to... I i dalje je dobra fora.

 Plus, loader moze da se pokrene i kroz neki buffer overload u plejeru, ili ko zna sta, ovo je za sada poznati napad, nije nezamislivo da neko napravi ciljani buffer overrun za foobar ili tako nesto.

 Ono sto je bitno shvatiti je da su audio fajlovi postali vektor napada.

[Majda]

28 minutes ago, Gruja said:

Ovaj deo je dosta bitan:

"Each WAV file was coupled with a loader component for decoding and executing malicious content secretly woven throughout the file's audio data,"

Znači ne može sam WAV da zarazi računar. Mora da se koristi neki security propust, da se korisnik navede da sam pokrene program, ili nešto slično što bi omogućilo da se izvrši taj prvi "loader". WAV sadrži ostatak koda, ali isto tako taj kod bi mogao da se smesti i u sliku, pdf, u skoro bilo koju drugu vrstu fajla, ili da se prosto skine sa neta kad se već taj prvi "loader" dočepa kontrole.

Pitanje je zbog cega je izabran bas taj tip? Ako je cilj veca virulencija onda je bolje bilo izabrati nesto sto mnogo vise cirkulise po mrez? Kao sto si i naveo pdf, jpg, flac, mp3 i sicno.

[Majda]

26 minutes ago, nkrgovic said:

Ono sto je bitno shvatiti je da su audio fajlovi postali vektor napada.

Bilo je i "krajnje" vreme...

[TurboMaximus]

Moja ćerka je radila master iz sličnog, na slikovnim formatima. Morao bih da proverim, ali koliko se sećam, da bi virus (lil šta li je) proradio, potreban je neki eksterni uslov.

[goran_p]

A sta je sa onima koji ne koriste Windows a imaju WAV fajlove ?

[garson]

Nisam citao clanke ali verovatno malware cilja Windozu tako da ovi ostali (*Nix) ne bi trebalo da su pogodjeni.

[Zexx]

55 minuta ranije, garson said:

Nisam citao clanke ali verovatno malware cilja Windozu tako da ovi ostali (*Nix) ne bi trebalo da su pogodjeni.

Naravno da cilja Windows...

https://gs.statcounter.com/os-market-share/desktop/worldwide

[nkrgovic]

9 sati ranije, Majda said:

Pitanje je zbog cega je izabran bas taj tip? Ako je cilj veca virulencija onda je bolje bilo izabrati nesto sto mnogo vise cirkulise po mrez? Kao sto si i naveo pdf, jpg, flac, mp3 i sicno.

 WAV fajlovi idu jako cesto kroz mail, jer ih razni interni sisetmi koriste za slanje voicemail poruka . Nema veze sa kvalitetom (voicemail je krs kvalitet), samo sa kompatibilnoscu.

 Da, za sada je potreban extrerni program i da za sada je samo za Windows. Ono sto je nezgodno je da sa ovom podelom nema signature based detekcije, pa se zato savetuje povecan oprez. Neki filteri za email su blokirali WAV totalno, kao reakciju na ovo, ostavljajuci ih samo za slanje unutar lokalne mreze.

[garson]

3 sati ranije, Zexx said:

Naravno da cilja Windows...

https://gs.statcounter.com/os-market-share/desktop/worldwide

[Majda]

19 hours ago, nkrgovic said:

 WAV fajlovi idu jako cesto kroz mail, jer ih razni interni sisetmi koriste za slanje voicemail poruka . Nema veze sa kvalitetom (voicemail je krs kvalitet), samo sa kompatibilnoscu.

 Da, za sada je potreban extrerni program i da za sada je samo za Windows. Ono sto je nezgodno je da sa ovom podelom nema signature based detekcije, pa se zato savetuje povecan oprez. Neki filteri za email su blokirali WAV totalno, kao reakciju na ovo, ostavljajuci ih samo za slanje unutar lokalne mreze.

Pa onda to objasnjava zbog cega je odabran taj nacin delovanja. Voice mail? U kakvoj j to relaciji sa recimo muzickim materijalima tog tipa koji ne cirkulisu po mrezi? Da li mozda virus moze da "zarazi" na neki nacin WAV materijal koji je vec ha internom HDu recimo?

btw sto ne rece odmah da je voice mail ciljna grupa

[nkrgovic]

 Moze da zarazi bilo koji WAV, nije izvor zaraze voice mail softver vec namenski napisam mallware, koji cilja WAV fajlove.

 Voice mail je samo razlog zasto je izabran WAV a ne mp3 ili FLAC...

 Znaci, relacija je tip fajl ne izvor fajla.

[sakal]

Ovo je klasican nacin na koji funkcionise cryptomalware i nije nista novo samo sto do sada nisu koristili tu ekstenziju vec su najcesce koristili word,pdf i sl.Spomenuli ste signature ili potpis,tu retko i da pomazu baze vec taj posao odradjuje heuristika i drugi moduli antivirusnog softvera poput behavior detection.Najcesce se u samom fajlu nalazi skripta koju mora korisnik da pokrene i nakon toga ide sve automatski,c&c server preuzima posao enkripcije podataka na vasem racunaru.

[TurboMaximus]

Pitao sam i valjda razumeo.

Važi za slikovne, a pretpostavljeno i za muzičke formate. Opasnija verzija je kad se HTML neopreznom korisniku poturi kao slika. Tada zaraza može sama da se aktivira. Ako je pravi slikovni format, jedna komponenta se učitava u piksele, dok dodatnu komponentu za aktivaciju treba pustiti u računar nezavisno.

Muzički folderi s neta ponekad sadrže i HTML file. Možda s tim treba biti oprezan. 

Ne znam u kojoj bi meri neku standardnu aktivnost plejera ili OS-a bilo moguće iskoristiti za pokretanje sranja.

[sakal]

Nista ne moze samo da se aktivira,korisnik mora da pokrene zarazeni fajl.

 

[nkrgovic]

 Tako je, ali ako bi neko embedovao WAV plejer u html/js, koji inace radi, ali ima "probe" da pokrene wav, plus upakovao u celu semu i WAV u kome je glavni payload - onda nijedna pojedinacna komponenta nema ni potpis ni maliciozno ponasanje - vec samo kad se spoje. Alternativno, ako postoji propus u default plejeru, na primer, moze isto da se desi...

 Da, naravno da se moze analizom ponasanja detektovati, ja sam siguran da ce dobro corporate security resenje ovo da detektuje, tipa Sophos EDR, ili Cisco AMP... ali to nije nesto sto imaju kucni korisnici.

[TurboMaximus]

45 minuta ranije, sakal said:

Nista ne moze samo da se aktivira,korisnik mora da pokrene zarazeni fajl.

 

Neprecizno izražavanje s moje strane.

U prvom slučaju, pokretanje fajla pokreće i problem, dok u drugom ne, ukoliko nema druge komponente.

[sakal]

Ne ne,nece biti payload u wav fajlu nikada,on je samo inicijator.Maliciozno ponasanje bi morao da otkrije i neki slabiji firewall koji se nalaze u nekim free antivirusnim resenjima.Velika je verovatnoca da ce c&c serveri,domeni ili bot mreza biti na na nekoj crnoj listi,ako nisu onda dolazi behavior detection koji nadgleda registar i sve ostalo u os-u i blokira rad malware-a.A edr je posebna prica,skupa,glomazna i treba covek koji zna da radi sa tim..Uz sophos da bi se uspesno borio protiv ovoga moras da dokupis intercept x modul koji je uzasno skup dok sva druga resenja imaju to u sebi,jako su bezobrazni.

[Majda]

1 hour ago, nkrgovic said:

Moze da zarazi bilo koji WAV, nije izvor zaraze voice mail softver vec namenski napisam mallware, koji cilja WAV fajlove.

Znam da je to poseban modul unutar wav-a koji voice mail samo transportuje?

Da li prihvaceni voice mail wav, moze bez dodatnih aktivnosti korisnika (automatski po prijemu) da "pronadje" sve dostupne WAV fajlove i da u njih upise "virusni kod"? Da li pronalazi samo WAV-ove koji su u nekom Voice mail folderu? Opet zasto bi neko ponovo slao vioce mailove koje je vec procitao?

Mozda virus pravi neki modul koji automatski "ubacuje" kod u svaki novi voice mail WAV koji se salje od momenta kada je zarazeni voice mail WAV downlodovan?

Ako je smisao da zarazi i druge WAV-ove to je onda poseban zadatak zbog toga sto se ti WAV-ovi u principu ne salju dalje mailom? Opet osnovni cilj je "preuzimanje" personalnog racunara i eventualno sirenje na druge jedinice istim putem?

Da li nesto od ovoga ima smisla?

[nkrgovic]

 Ljudi, ja ne radim ovo full time... Analize sam prosledio kao upozorenje, sa savetom koji i ja dajem svojim komercijalnim klijentima - da blokiraju WAV na svim ulazima u mrezu, iz predostroznosti.

 Jednostavno, deo je virus kill chain-a, nema razloga da dolazi od spolja, blokira se i gotovo.

 Ako zelite detaljnu analizu, imate linkove, pa polako istrazite sami. Moja preporuka je da ne prihvatate nikakav audio fajl od spolja kroz bilo koji vektor, osim komercijalnih streaming-a koji dolaze u DRM formatu i kripto potpisani (a to su realno svi, Tidal, Spotify, Deezer... ). Svako preuzimanje audio fajlova moze biti deo infekcije. Jednostavno, ja vise od toga vremena i zivaca nemam.. plus svaka analiza sadasnjih otkrivenih napada sigurno kasni par meseci za onime sto se sad razvija, tako da je rasprava bespredmetna. Ako nema napad danas, imace sutra.

 Shvatite da jedan virus nije jedinstevno cudo, vec da se posle svake napasti pojavi jos stotine slicnih a malo izmenjenih i da vam niko ne moze garantovati da svi rade isto. Jednostavno, audio fajlovi nisu vise neranjivi, stavise imaju se smatrati vektorom napada.

[nkrgovic]

44 minuta ranije, Majda said:

Da li prihvaceni voice mail wav, moze bez dodatnih aktivnosti korisnika (automatski po prijemu) da "pronadje" sve dostupne WAV fajlove i da u njih upise "virusni kod"? Da li pronalazi samo WAV-ove koji su u nekom Voice mail folderu? Opet zasto bi neko ponovo slao vioce mailove koje je vec procitao?

 Da dam i konkretan odogovr:

 Ova napast o kojoj sam ostavio link jednostavno otvara "reverse shell", kroz koji napadac preuzima potpunu kontrolu nad zarazenim racunarom. To ukljucuje mogucnost upload-a (bez znanaj korisnika) bilo kakvog softvera, ukljucujuci i onaj koji ce tek biti napisan - sve dok se ne otkrije.

 Znaci, moze da radi sta hoce. Da pretrazi sve fajlove. Da posalje sebi sve zanimljivo. Da zarazi koje hoce fajlove dalje. Da skine zapamcene lozikne (ovo ce sigurno da uradi - i da pregleda da li ima nesto sa kljucnom reci "bank" ili tako nesto sa posebnom paznjom). Da pokrene crypto mining koristeci udaljeni racunar. Da kroz njega pojaca napade na trece racuanre (DDoS, Spam, sta god...). Da na kraju sve kriptuje i postavi ransomware - jednom kad se smori...

 

[sakal]

Ukratko,ako se iskoriscava propust u nekoj aplikaciji za koju ne postoji patch ili postoji ali korisnik nije instalirao dzaba mu sva zastita :)

 

[arnage]

Ovo je staro bar 20 godina. 

Pa i sam sam 2008. godine pakovao c99 shell sa ekstenzijom .php.jpg i ubijao neke baš idiotske sajtove.
Btw, c99 je stara skripta, a nas par (Srbija, Gruzija, Rusija, Gana) smo je kasnije prepravljali na php 5 i komandama i prepravljenom sintaksom obilazili kernel i na Linux serverima... Da ne davim dalje...

Ne obazirite se na ovo. Svako ko koristi bilo koji šire rasprostranjen plejer je bezbedan.

Ima jedna komada u storage fajlu "executable = off" koja je odavno standard u programiranju...