مشکلات امنیتی CMS

ظهور دوباره Malware مخفی شده در سرآیند فایل های jpeg

0 157

JoomlaBackdoor_V1

2 سال پیش بود که بدافزار جدیدی در برخی از وب سایت های هک شده بر پایه جوملا شناسایی شد که از روش جدیدی برای مخفی سازی محتویات مخرب خود استفاده می کرد و اطلاعات خود را در header فایل های jpeg قرار میداد که گزارش فنی و تخصصی آن در پست زیر ارایه شده است.

فایل مخرب پنهان در هدر فایل php سایت های جوملایی

اخیرا تیم امنیتی ما در سرویس server-side-scanning فایل مخرب جدیدی را شناسایی کرده است که مانند فایل مخرب معرفی شده در لینک بالا از روش مبهم سازی base64 در هدر فایل های jpg بهره می گیرد.

در مقاله قبل مشکلی که این نوع فایل های مخرب داشتند هنگام فراخوانی آدرس غکس ، عکس مربوطه مشاهده نمیشد ولی در این نسخه فایل عکس بدرستی نمایش داده می شود. و عکسی که به ظاهر بدون مشکل به نظرمی رسد عکس زیر است .

parse_jpg3

در فایل های اصلی جوملا فایلی به نام application.php وجود دارد که در قسمتی از فایل ، توسط تابع exif_read_data اطلاعات EXIF  عکس فراخوانی می گردد و تابع preg_replace نیز برخی از اطلاعات EXIF ، نظیر Description, Aritist, Model  را قرار میدهد که کد آن در عکس ذیل مشخص است.

parse_jpg

فایل application.php  زمانی که فراخوانی می گردد. عکس joomla_logo_black.jpg را فراخوانی می کند که با فراخوانی عکس مربوطه EXIF Header  عکس نیز فراخوانی می گردد که با مشاهده محتوی عکس می توانید هدر عکس را مشاهده نمایید که header مربوطه دستکاری شده است و توسط هکر عبارت  base64_decode اضافه شده است.

parse_jpg1

وقتی فایل مربوطه را با تابع  exif_read_data فراخوانی می کنیم محتوی فایل مربوطه مطابق عکس ذیل می باشد.

parse_jpg21

همان طوری که می بینید یک قسمت از کد با base64 مبهم سازی شده است که همان قسمت ، backdoor می باشد.

به طور خلاصه هکر ها با دو تابع exif_read_data و preg_replace و فراخوانی عکس مربوطه در هر فایل php می توانند Backdoor خود را اجرا کنند.

 

در باره نویسنده / 

BlogAdmin

ارسال پاسخ

ایمیل شما نمایش داده نمی‌شود. موارد مورد نیاز علامتگذاری شده است *