Cookie-styrede PHP-webshells på Linux undviger detektion

Introduktion

Microsoft har offentliggjort ny research om en snigende PHP-webshell-teknik, der påvirker Linux-hostingmiljøer. I stedet for at bruge tydelige URL-parametre eller request bodies bruger angribere HTTP-cookies som trigger- og kontrolkanal for skadelig eksekvering, hvilket gør disse webshells sværere at opdage i normal webtrafik og applikationslogs.

For sikkerhedsteams og administratorer, der administrerer Linux-hostede webapps, er dette vigtigt, fordi teknikken muliggør persistens med lav støj, forsinket aktivering og mere undvigende adgang efter kompromittering.

Hvad er nyt

Microsoft observerede flere varianter af PHP-webshells, som alle er afhængige af cookie-styret eksekvering:

• Cookie-styret aktivering: Webshellen forbliver inaktiv, medmindre angriberen sender bestemte cookie-værdier.
• Lagdelt obfuskering: Nogle varianter genopbygger dynamisk PHP-funktioner og eksekveringslogik under kørsel for at undgå statisk detektion.
• Payload-staging: Flere prøver rekonstruerer og skriver sekundære payloads til disk kun, når de krævede cookie-betingelser er opfyldt.
• Interaktiv webshell-adfærd: Enklere versioner bruger en enkelt cookie som nøgle til at aktivere kommandoeksekvering eller filupload.
• Cron-baseret persistens: I en undersøgt sag brugte angribere legitime workflows i hosting-kontrolpanelet til at registrere planlagte opgaver, som genskabte den skadelige PHP-loader, hvis den blev fjernet.

Hvorfor dette er sværere at opdage

Cookies får ofte mindre opmærksomhed end request paths, query strings eller POST bodies. I PHP er cookie-værdier direkte tilgængelige via $_COOKIE, hvilket gør dem til en praktisk inputkanal for angribere. Kombineret med obfuskering og trinvis udrulning af payloads gør dette, at skadelige filer kan se inaktive ud under normal trafik og kun aktiveres under bevidste interaktioner fra angriberen.

Indvirkning på administratorer og forsvarere

For IT- og sikkerhedsadministratorer er den væsentligste risiko vedvarende remote code execution i en kompromitteret hostingkonto, selv uden adgang på root-niveau. I delt hosting eller begrænsede shell-miljøer kan angribere stadig have tilstrækkelige rettigheder til at:

• Ændre webindhold
• Installere PHP-loaders
• Genskabe slettet malware via cron jobs
• Opretholde langvarig adgang med minimale spor i logs

Dette kan komplicere afhjælpningen, især når en “selvhelende” planlagt opgave gendanner webshellen efter oprydning.

Anbefalede næste skridt

Administratorer bør gennemgå Microsofts vejledning og prioritere disse handlinger:

• Auditér PHP-applikationer og web roots for mistænkelige obfuskerede scripts
• Gennemgå planlagte opgaver og cron jobs for uautoriserede persistensmekanismer
• Overvåg cookie-mønstre forbundet med usædvanlig server-side eksekvering
• Aktivér og undersøg detektioner og threat analytics i Microsoft Defender XDR
• Hunt efter webtilgængelige PHP-filer, der skriver eller inkluderer sekundære payloads
• Stram file integrity monitoring og tilladelser i Linux-hostingmiljøer

Organisationer, der kører internetvendte PHP-workloads, bør også sikre, at incident response-playbooks omfatter kontrol af cron-persistens, hunting efter cookie-baserede webshells og opfølgende validering efter oprydning.