Webshells PHP con cookies en Linux: evasión

Introducción

Microsoft ha publicado nueva investigación sobre una técnica sigilosa de webshell PHP que afecta a entornos de hosting Linux. En lugar de usar parámetros de URL evidentes o cuerpos de solicitud, los atacantes están usando cookies HTTP como disparador y canal de control para la ejecución maliciosa, lo que hace que estos webshells sean más difíciles de detectar en el tráfico web normal y en los registros de aplicaciones.

Para los equipos de seguridad y administradores que gestionan aplicaciones web alojadas en Linux, esto importa porque la técnica permite persistencia de bajo ruido, activación diferida y un acceso posterior al compromiso más evasivo.

Qué hay de nuevo

Microsoft observó múltiples variantes de webshell PHP que dependen de la ejecución condicionada por cookies:

• Activación controlada por cookies: El webshell permanece inactivo a menos que el atacante envíe valores de cookie específicos.
• Ofuscación por capas: Algunas variantes reconstruyen dinámicamente funciones PHP y lógica de ejecución en tiempo de ejecución para evitar la detección estática.
• Preparación de payloads: Varias muestras reconstruyen y escriben payloads secundarios en disco solo cuando se cumplen las condiciones de cookie requeridas.
• Comportamiento interactivo de webshell: Las versiones más simples usan una sola cookie como clave para habilitar la ejecución de comandos o la carga de archivos.
• Persistencia basada en cron: En un caso investigado, los atacantes usaron flujos de trabajo legítimos del panel de control de hosting para registrar tareas programadas que recreaban el cargador PHP malicioso si se eliminaba.

Por qué esto es más difícil de detectar

Las cookies suelen recibir menos escrutinio que las rutas de solicitud, las query strings o los cuerpos POST. En PHP, los valores de las cookies son accesibles directamente a través de $_COOKIE, lo que las convierte en un canal de entrada conveniente para los atacantes. Combinado con la ofuscación y el despliegue escalonado de payloads, esto permite que los archivos maliciosos parezcan inertes durante el tráfico normal y se activen solo durante interacciones deliberadas del atacante.

Impacto en administradores y defensores

Para los administradores de TI y seguridad, el riesgo clave es la ejecución remota de código persistente dentro de una cuenta de hosting comprometida, incluso sin acceso de nivel root. En entornos de hosting compartido o shell restringido, los atacantes aún pueden tener permisos suficientes para:

• Modificar contenido web
• Implementar cargadores PHP
• Recrear malware eliminado mediante cron jobs
• Mantener acceso a largo plazo con una huella mínima en los registros

Esto puede complicar la remediación, especialmente cuando una tarea programada de “autorreparación” restaura el webshell tras la limpieza.

Próximos pasos recomendados

Los administradores deben revisar la guía de Microsoft y priorizar estas acciones:

• Auditar aplicaciones PHP y web roots en busca de scripts ofuscados sospechosos
• Revisar tareas programadas y cron jobs para detectar mecanismos de persistencia no autorizados
• Supervisar patrones de cookies asociados con ejecución inusual del lado del servidor
• Habilitar e investigar las detecciones y analíticas de amenazas de Microsoft Defender XDR
• Buscar archivos PHP accesibles desde la web que escriban o incluyan payloads secundarios
• Reforzar la supervisión de integridad de archivos y los permisos en entornos de hosting Linux

Las organizaciones que ejecutan cargas de trabajo PHP expuestas a Internet también deben asegurarse de que sus playbooks de respuesta a incidentes incluyan comprobaciones de persistencia en cron, búsqueda de webshells basados en cookies y validación posterior a la limpieza.