PHP-webshells op Linux: cookiegestuurde ontwijking

Inleiding

Microsoft heeft nieuw onderzoek gepubliceerd naar een stealthy PHP-webshelltechniek die Linux-hostingomgevingen treft. In plaats van opvallende URL-parameters of request bodies te gebruiken, zetten aanvallers HTTP-cookies in als trigger- en controlekanaal voor kwaadaardige uitvoering. Daardoor zijn deze webshells moeilijker te herkennen in normaal webverkeer en applicatielogs.

Voor securityteams en beheerders van op Linux gehoste webapps is dit relevant, omdat de techniek persistente toegang met weinig ruis, vertraagde activatie en meer ontwijkende toegang na compromittering mogelijk maakt.

Wat is er nieuw

Microsoft heeft meerdere varianten van PHP-webshells waargenomen die allemaal afhankelijk zijn van cookie-gestuurde uitvoering:

• Cookiegestuurde activatie: De webshell blijft inactief tenzij de aanvaller specifieke cookiewaarden verstuurt.
• Gelaagde obfuscatie: Sommige varianten bouwen PHP-functies en uitvoeringslogica dynamisch opnieuw op tijdens runtime om statische detectie te ontwijken.
• Payload-staging: Verschillende samples reconstrueren en schrijven secundaire payloads pas naar disk wanneer aan de vereiste cookievoorwaarden is voldaan.
• Interactief webshellgedrag: Eenvoudigere versies gebruiken één cookie als sleutel om command execution of bestandsupload mogelijk te maken.
• Cron-gebaseerde persistentie: In een onderzocht geval gebruikten aanvallers legitieme workflows van een hosting control panel om geplande taken te registreren die de kwaadaardige PHP-loader opnieuw aanmaakten als die werd verwijderd.

Waarom dit moeilijker te detecteren is

Cookies krijgen vaak minder aandacht dan request paths, query strings of POST-bodies. In PHP zijn cookiewaarden direct toegankelijk via $_COOKIE, wat ze tot een handig invoerkanaal voor aanvallers maakt. Gecombineerd met obfuscatie en gefaseerde deployment van payloads zorgt dit ervoor dat kwaadaardige bestanden tijdens normaal verkeer onschuldig lijken en alleen worden geactiveerd bij doelbewuste interacties van de aanvaller.

Impact op beheerders en defenders

Voor IT- en securitybeheerders is het belangrijkste risico persistente remote code execution binnen een gecompromitteerd hostingaccount, zelfs zonder toegang op root-niveau. In shared hosting- of beperkte shellomgevingen kunnen aanvallers nog steeds voldoende rechten hebben om:

• Webcontent te wijzigen
• PHP-loaders te deployen
• Verwijderde malware via cron jobs opnieuw aan te maken
• Langdurige toegang te behouden met een minimale loggingvoetafdruk

Dit kan remediatie bemoeilijken, vooral wanneer een “self-healing” geplande taak de webshell na opschoning herstelt.

Aanbevolen volgende stappen

Beheerders moeten de richtlijnen van Microsoft bekijken en prioriteit geven aan deze acties:

• Controleer PHP-applicaties en web roots op verdachte geobfusceerde scripts
• Controleer geplande taken en cron jobs op ongeautoriseerde persistentiemechanismen
• Monitor cookiepatronen die samenhangen met ongebruikelijke server-side execution
• Schakel detecties en threat analytics in Microsoft Defender XDR in en onderzoek deze
• Jaag op via het web toegankelijke PHP-bestanden die secundaire payloads schrijven of includen
• Versterk bestandsintegriteitsmonitoring en rechten in Linux-hostingomgevingen

Organisaties met internetgerichte PHP-workloads moeten er ook voor zorgen dat incident response-playbooks controles op cron-persistentie, jacht op cookiegebaseerde webshells en validatie na opschoning bevatten.