云盾高防采集_ddos谨防套餐_超高谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 云盾高防采集_ddos谨防套餐_超高谨防

云盾高防采集_ddos谨防套餐_超高谨防

小墨安全管家 2022-06-29 09:30 DDOS防御 89 ℃
DDoS防御

我们最近讨论了受感染的Word文档宏,甚至是伪造的Google Drive网络钓鱼,于是即使是常用的可信媒体形式,也要小心你的来源。

云盾高防采集_ddos谨防套餐_超高谨防

现如今天的帖子,在这篇文章中,我们探讨了近两年前我们分享的一具案例,在该案例中,我们发觉恶意负载被注入到图像中。

恶意软件作者总是试图找到躲藏恶意软件的新想法,有点事情下会回到旧技术,让它尽大概隐形的任何东西。你能够阅读一篇相关的博客文章,DDoS防御,其中我描述了类似的事情,DDoS防御,包括躲藏在PNG文件中的恶意代码。

我的同事Rodrigo Escobar向我们传递了一具很有味的负载,其中后门被嵌入到JPG EXIF头数据中。这是针对一具被黑的Joomla!安装,并巧合地使用了与我们在上一篇文章中报道的相同的标记。可是,这一次,图像工作正常,所以看起来他们基本成功地将其正确地处理了。

您还能够清晰地看到代码中含糊的base64部分,即编码的Joomla后门本身。没啥了——这不过一具很常见的后门。

我们的修复和研究团队保持着持续的沟通与合作。这是我们怎么率先于最新的威胁,但它也提供了一具机遇,以确定有味的威胁,这些威胁不是新的,但大概会再次发生。

总之,攻击者破解了恶意代码字符串,并将其插入JPG图像上EXIF数据的每个部分。EXIF数据就像一具等待base64执行的谜题,CC防御,当application.php文件加载时,@preg_将EXIF数据拼凑在一起,成功地执行了后门。

这一次,我们的团队注意到图像仍在网站上工作,同时加载时没有任何咨询题。有味的是,代码存储在一具看似无辜的图像文件中——Joomla!logo–能够加载和查看:

这段启动(相当慎重)的代码被添加到Joomla中的application.php核心文件中,以便从logo图像读取EXIF数据。另外请注意,@preg_replace包含一些对于图像的EXIF数据,如描述、算术、模型等。

当使用PHP exif_read_data函数加载数据时,它返回一具填充有数据本身的数组。EXIF数据全部由攻击者填写:

谁懂,大概再过两年,DDoS防御,我将再次与您分享一篇对于躲藏在JPG EXIF标题中的恶意软件的博文…Repetitio mater studiorum est–重复是所有学习之母。睁大双眼,保持安全!

application.php文件不过作为Joomla的核心部分加载。当它使用此恶意代码段加载徽标时,它将执行存储在EXIF头中的信息。这是恶意JPG头的一部分,图像本身是有效的,但攻击者在头中添加了base64_decode:


DDoS防御

当前位置:主页 > DDOS防御 > 云盾高防采集_ddos谨防套餐_超高谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119