BLOGTIMES
2013/07/17

EXIF に潜むマルウェア

  exif  malware 
このエントリーをはてなブックマークに追加

EXIF ヘッダにマルウェアが埋め込まれているという話が興味深かったのでメモ。

PHP のバックドアというと、リモートのファイルをインクルードする*1という攻撃方法がポピュラーでしたが、下記の攻撃は直接スクリプトファイルを読み込むのではなく、スクリプトを EXIF に埋め込んでおき、exif_read_data()*2 で読み出すという方式になっています。そして最終的に利用されるのは preg_replace()*3 の e 修飾子*4これまでも e 修飾子については、攻撃の踏み台として使われることが多かったので、5.5 では非推奨となっており、将来的には削除されるものと思われますが、それまではこのような攻撃が発生し続けると思われます。

このような方式だと単純なフィルタリングでは検知できないかもしれないので、注意が必要ですね。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/5971
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン