ظهور دوباره Malware مخفی شده در سرآیند فایل های jpeg
JoomlaBackdoor_V1.png
2 سال پیش بود که بدافزار جدیدی در برخی از وب سایت های هک شده بر پایه جوملا شناسایی شد که از روش جدیدی برای مخفی سازی محتویات مخرب خود استفاده می کرد و اطلاعات خود را در header فایل های jpeg قرار میداد که گزارش فنی و تخصصی آن در پست زیر ارایه شده است.
فایل مخرب پنهان در هدر فایل php سایت های جوملایی
اخیرا تیم امنیتی ما در سرویس server-side-scanning فایل مخرب جدیدی را شناسایی کرده است که مانند فایل مخرب معرفی شده در لینک بالا از روش مبهم سازی base64 در هدر فایل های jpg بهره می گیرد.
در مقاله قبل مشکلی که این نوع فایل های مخرب داشتند هنگام فراخوانی آدرس غکس ، عکس مربوطه مشاهده نمیشد ولی در این نسخه فایل عکس بدرستی نمایش داده می شود. و عکسی که به ظاهر بدون مشکل به نظرمی رسد عکس زیر است .
parse_jpg3.png
در فایل های اصلی جوملا فایلی به نام application.php وجود دارد که در قسمتی از فایل ، توسط تابع exif_read_data اطلاعات EXIF عکس فراخوانی می گردد و تابع preg_replace نیز برخی از اطلاعات EXIF ، نظیر Description, Aritist, Model را قرار میدهد که کد آن در عکس ذیل مشخص است.
parse_jpg.png
فایل application.php زمانی که فراخوانی می گردد. عکس joomla_logo_black.jpg را فراخوانی می کند که با فراخوانی عکس مربوطه EXIF Header عکس نیز فراخوانی می گردد که با مشاهده محتوی عکس می توانید هدر عکس را مشاهده نمایید که header مربوطه دستکاری شده است و توسط هکر عبارت base64_decode اضافه شده است.
parse_jpg1.png
وقتی فایل مربوطه را با تابع exif_read_data فراخوانی می کنیم محتوی فایل مربوطه مطابق عکس ذیل می باشد.
parse_jpg21.png
همان طوری که می بینید یک قسمت از کد با base64 مبهم سازی شده است که همان قسمت ، backdoor می باشد.
به طور خلاصه هکر ها با دو تابع exif_read_data و preg_replace و فراخوانی عکس مربوطه در هر فایل php می توانند Backdoor خود را اجرا کنند.
منبع :
http://blog.securehost.ir/return-exif-header-joomla/
پاسخ با نقل قول
