Come CryptoPHP: il malware subdolo funziona?

0

Questo malware è nascosto in temi piratati e plug-in per CMS. il file "social.png" confermava che avevamo trovato la backdoor; in quanto conteneva un grosso blob di codice PHP offuscato.

La mia domanda è: come l'hacker usa il codice infuso all'interno di un'immagine?

Posso eseguire un file immagine come php mantenendo il codice php in un'immagine?

Anche se infondo del codice php in formato binario o hexa in un file immagine, come gli hacker usano l'immagine.

Come utilizzare il codice infuso all'interno di un'immagine.

    
posta zod 02.12.2014 - 22:04
fonte

2 risposte

1

Scommetto che c'è un piccolo pezzo di codice nascosto da qualche parte che si occupa di deoffuscare il vero carico utile dall'immagine e poi eseguirlo; che permette agli aggressori di avere un piccolissimo malware che possono facilmente nascondersi da qualche parte in un file PHP altrimenti non dispendioso, mantenendo il malware grande e non così subdolo in un'immagine che gli permette di passare inosservato il più delle volte, a meno che qualcuno non sappia cosa cercare.

Per la parte "how to use", trova un modo per incorporare il codice PHP in un'immagine (potrebbe essere semplice come un file PHP rinominato in .png in qualcosa di più subdolo come la steganografia che non sarà visibile solo guardando l'immagine visualizzata), quindi crea un pezzetto di codice che si occupa di deoffuscare il tuo payload effettivo e quindi di eseguirlo.

Ho anche letto da qualche parte che i web server configurati male possono servire file di immagine come testo, il che comporta un grande casino di caratteri Unicode quando visualizzati in un browser, ma ciò che è interessante è che il codice PHP in queste "immagini" otterrà eseguito.

    
risposta data 02.12.2014 - 22:23
fonte
1

I commenti di testo possono essere inclusi nei file PNG, JPG e GIF. Non è necessaria la steganografia. Come hai scoperto, se l'immagine è inclusa (usando il costrutto di include di PHP) il codice verrà eseguito. Funziona perché PHP ha modalità di copia e interpretazione. I file inclusi iniziano in modalità copia, quindi l'interprete PHP non guarda affatto i bit dell'immagine, semplicemente li copia. Quando si incontra il <?php nei commenti, il processore PHP passa alla modalità di interpretazione ed esegue il codice finché non vede ?> .

    
risposta data 02.12.2014 - 23:09
fonte

Leggi altre domande sui tag