PHP-Webshells auf Linux: Cookie-gesteuerte Tarnung

Einführung

Microsoft hat neue Forschungsergebnisse zu einer unauffälligen PHP-Webshell-Technik veröffentlicht, die Linux-Hosting-Umgebungen betrifft. Anstatt offensichtliche URL-Parameter oder Request-Bodies zu verwenden, nutzen Angreifer HTTP-Cookies als Auslöser und Steuerkanal für die schädliche Ausführung. Dadurch sind diese Webshells im normalen Webverkehr und in Anwendungsprotokollen schwerer zu erkennen.

Für Sicherheitsteams und Administratoren, die auf Linux gehostete Web-Apps verwalten, ist das relevant, weil die Technik eine persistente, geräuscharme Präsenz, verzögerte Aktivierung und schwerer erkennbare Zugriffe nach einer Kompromittierung ermöglicht.

Was ist neu?

Microsoft beobachtete mehrere PHP-Webshell-Varianten, die alle auf Cookie-gesteuerter Ausführung basieren:

• Cookie-gesteuerte Aktivierung: Die Webshell bleibt inaktiv, sofern der Angreifer nicht bestimmte Cookie-Werte sendet.
• Mehrschichtige Verschleierung: Einige Varianten setzen PHP-Funktionen und Ausführungslogik zur Laufzeit dynamisch neu zusammen, um statische Erkennung zu vermeiden.
• Stufenweise Payload-Bereitstellung: Mehrere Samples rekonstruieren und schreiben sekundäre Payloads nur dann auf den Datenträger, wenn die erforderlichen Cookie-Bedingungen erfüllt sind.
• Interaktives Webshell-Verhalten: Einfachere Versionen verwenden ein einzelnes Cookie als Schlüssel, um Befehlsausführung oder Datei-Uploads zu aktivieren.
• Cron-basierte Persistenz: In einem untersuchten Fall nutzten Angreifer legitime Workflows eines Hosting-Control-Panels, um geplante Aufgaben zu registrieren, die den schädlichen PHP-Loader erneut erstellten, falls er entfernt wurde.

Warum ist das schwerer zu erkennen?

Cookies werden oft weniger genau geprüft als Request-Pfade, Query-Strings oder POST-Bodies. In PHP sind Cookie-Werte direkt über $_COOKIE zugänglich, was sie zu einem praktischen Eingabekanal für Angreifer macht. In Kombination mit Verschleierung und stufenweiser Payload-Bereitstellung können schädliche Dateien im normalen Datenverkehr harmlos erscheinen und sich nur bei gezielten Interaktionen durch den Angreifer aktivieren.

Auswirkungen auf Administratoren und Verteidiger

Für IT- und Sicherheitsadministratoren besteht das zentrale Risiko in persistenter Remote Code Execution innerhalb eines kompromittierten Hosting-Kontos, selbst ohne Zugriff auf Root-Ebene. In Shared-Hosting- oder eingeschränkten Shell-Umgebungen verfügen Angreifer möglicherweise dennoch über ausreichende Berechtigungen, um:

• Webinhalte zu verändern
• PHP-Loader bereitzustellen
• Gelöschte Malware über Cron-Jobs erneut zu erstellen
• Langfristigen Zugriff mit minimaler Protokollspur aufrechtzuerhalten

Das kann die Bereinigung erschweren, insbesondere wenn eine „selbstheilende“ geplante Aufgabe die Webshell nach der Entfernung wiederherstellt.

Empfohlene nächste Schritte

Administratoren sollten die Empfehlungen von Microsoft prüfen und diese Maßnahmen priorisieren:

• PHP-Anwendungen und Web-Roots auf verdächtige verschleierte Skripte überprüfen
• Geplante Aufgaben und Cron-Jobs auf nicht autorisierte Persistenzmechanismen prüfen
• Cookie-Muster überwachen, die mit ungewöhnlicher serverseitiger Ausführung verbunden sind
• Erkennungen und Threat Analytics in Microsoft Defender XDR aktivieren und untersuchen
• Nach webbasiert erreichbaren PHP-Dateien suchen, die sekundäre Payloads schreiben oder einbinden
• File Integrity Monitoring und Berechtigungen in Linux-Hosting-Umgebungen verschärfen

Organisationen mit internetseitig erreichbaren PHP-Workloads sollten außerdem sicherstellen, dass ihre Incident-Response-Playbooks Prüfungen auf Cron-Persistenz, die Suche nach Cookie-basierten Webshells und eine anschließende Validierung nach der Bereinigung enthalten.