exifヘッダ内に命令を埋め込むことで身を隠すマルウェア
2013年7月18日 12:34
あるAnonymous Coward 曰く、 JPEGデータのexifヘッダ内に命令を埋め込むことで、その身を隠すマルウェアが発見された模様(GIGAZINE、元ネタのsucuri blog)。
元ネタの記事がいまいち分かりにくいのでGIGAZINEの記事も若干分かりにくいものになっているが、このマルウェアはPHPで書かれており、その処理途中であらかじめ指定されていたJPEGファイルを読み込み、そのJPEG画像内のexifヘッダ内にBASE64形式でエンコードされて記載されていた処理を実行する、というものだそうだ。
これのポイントは、PHPのpreg_replace関数を使って任意のコードを実行させているという点。preg_replaceには引数として与えられた文字列を実行する「/e」パターン修飾子があり、これを利用してexifヘッダ内に記述されている命令を実行するという。
わざわざこのような回りくどい処理を行うメリットとしては、コードが分かりにくくなる(外部から入力された命令を実行していることが分かりにくくなる)点、JPEGファイルを差し替えれば実行する処理を変えることができる、という点だろうか。
なお、preg_replaceにおける/eパターン修飾子については以前からその危険性が指摘されており、PHP 5.5.0では非推奨とされている。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | PHP
関連ストーリー:
Mac OS Xを狙うランサムウェア、FBIを装い300ドルを要求 2013年07月17日
PHP 5.5.0 リリース 2013年06月22日
「軍事・諜報用マルウェア」が個人を狙う? 2013年06月11日
音楽や映像をトリガーにして起動するマルウェアが登場する可能性 2013年05月21日