¿Cómo funciona CryptoPHP: el malware malicioso?

0

Este malware está oculto en temas pirateados y complementos para CMS. el archivo 'social.png' confirmó que habíamos encontrado la puerta trasera; ya que contenía un gran blob de código PHP ofuscado.

Mi pregunta es ¿cómo el pirata informático usa el código infundido dentro de una imagen?

¿Puedo ejecutar un archivo de imagen como un php manteniendo el código php en una imagen?

Incluso si yo infundo algún código php en formato binario o hexa en un archivo de imagen, cómo los hackers usan la imagen.

Cómo utilizar el código infundido dentro de una imagen.

    
pregunta zod 02.12.2014 - 22:04
fuente

2 respuestas

1

Apuesto a que hay un pequeño fragmento de código oculto en algún lugar que se encarga de desenfocar la carga útil real de la imagen y luego ejecutarla; que permite a los atacantes tener una pieza muy pequeña de malware que pueden ocultar fácilmente en algún lugar en un archivo PHP por lo demás no ofensivo, al tiempo que mantienen el malware grande y no tan astuto en una imagen que le permite pasar desapercibido la mayor parte del tiempo, a menos que alguien sepa qué buscar.

Para la parte de "cómo usar", encuentre una manera de incrustar el código PHP en una imagen (puede ser tan simple como un archivo PHP que se renombra a .png a algo más astuto como la esteganografía que no se notará solo por mirando la imagen mostrada), luego cree un pequeño fragmento de código que se encargue de desenfocar su carga útil real y luego ejecutarlo.

También he leído en alguna parte que los servidores web mal configurados pueden servir archivos de imagen como texto, lo que resulta en un gran desorden de caracteres Unicode cuando se visualizan en un navegador, pero lo interesante es que el código PHP en estas "imágenes" obtendrá ejecutado.

    
respondido por el user42178 02.12.2014 - 22:23
fuente
1

Los comentarios de texto se pueden incluir en archivos PNG, JPG y GIF. No es necesaria la esteganografía. Como ha descubierto, si se incluye la imagen (utilizando la construcción include de PHP) se ejecutará el código. Eso funciona porque PHP tiene modo de copia y modo de interpretación. Los archivos incluidos se inician en el modo de copia, por lo que el intérprete de PHP no está mirando los bits de la imagen, solo los está copiando. Cuando se encuentra <?php en los comentarios, el procesador de PHP cambia al modo de interpretación y ejecuta el código hasta que ve ?> .

    
respondido por el Bob Brown 02.12.2014 - 23:09
fuente

Lea otras preguntas en las etiquetas