Come CryptoPHP: il malware subdolo funziona?

Scommetto che c'è un piccolo pezzo di codice nascosto da qualche parte che si occupa di deoffuscare il vero carico utile dall'immagine e poi eseguirlo; che permette agli aggressori di avere un piccolissimo malware che possono facilmente nascondersi da qualche parte in un file PHP altrimenti non dispendioso, mantenendo il malware grande e non così subdolo in un'immagine che gli permette di passare inosservato il più delle volte, a meno che qualcuno non sappia cosa cercare.

Per la parte "how to use", trova un modo per incorporare il codice PHP in un'immagine (potrebbe essere semplice come un file PHP rinominato in .png in qualcosa di più subdolo come la steganografia che non sarà visibile solo guardando l'immagine visualizzata), quindi crea un pezzetto di codice che si occupa di deoffuscare il tuo payload effettivo e quindi di eseguirlo.

Ho anche letto da qualche parte che i web server configurati male possono servire file di immagine come testo, il che comporta un grande casino di caratteri Unicode quando visualizzati in un browser, ma ciò che è interessante è che il codice PHP in queste "immagini" otterrà eseguito.

I commenti di testo possono essere inclusi nei file PNG, JPG e GIF. Non è necessaria la steganografia. Come hai scoperto, se l'immagine è inclusa (usando il costrutto di include di PHP) il codice verrà eseguito. Funziona perché PHP ha modalità di copia e interpretazione. I file inclusi iniziano in modalità copia, quindi l'interprete PHP non guarda affatto i bit dell'immagine, semplicemente li copia. Quando si incontra il <?php nei commenti, il processore PHP passa alla modalità di interpretazione ed esegue il codice finché non vede ?> .