PHP webshelle na Linux: unikanie wykrycia przez cookies

Wprowadzenie

Microsoft opublikował nowe badania dotyczące skrytej techniki PHP webshelli wpływającej na środowiska hostingowe Linux. Zamiast używać oczywistych parametrów URL lub treści żądań, atakujący wykorzystują HTTP cookies jako kanał wyzwalania i sterowania złośliwym wykonaniem, co sprawia, że takie webshelle są trudniejsze do wykrycia w normalnym ruchu webowym i logach aplikacji.

Dla zespołów bezpieczeństwa i administratorów zarządzających aplikacjami webowymi hostowanymi na Linux ma to znaczenie, ponieważ technika ta umożliwia cichą trwałość, opóźnioną aktywację i bardziej ukryty dostęp po kompromitacji.

Co nowego

Microsoft zaobserwował wiele wariantów PHP webshelli, które opierają się na wykonaniu uzależnionym od cookies:

• Aktywacja sterowana cookies: Webshell pozostaje nieaktywny, dopóki atakujący nie prześle określonych wartości cookie.
• Wielowarstwowa obfuskacja: Niektóre warianty dynamicznie odtwarzają funkcje PHP i logikę wykonania w czasie działania, aby uniknąć statycznego wykrywania.
• Etapowanie payloadów: Kilka próbek odtwarza i zapisuje wtórne payloady na dysku tylko wtedy, gdy spełnione są wymagane warunki cookie.
• Interaktywne zachowanie webshella: Prostsze wersje używają pojedynczego cookie jako klucza do włączenia wykonywania poleceń lub przesyłania plików.
• Trwałość oparta na cron: W jednym z badanych przypadków atakujący wykorzystali legalne mechanizmy panelu kontrolnego hostingu do rejestrowania zaplanowanych zadań, które odtwarzały złośliwy PHP loader po jego usunięciu.

Dlaczego to trudniej wykryć

Cookies często są analizowane mniej dokładnie niż ścieżki żądań, query stringi czy treści POST. W PHP wartości cookie są bezpośrednio dostępne przez $_COOKIE, co czyni je wygodnym kanałem wejściowym dla atakujących. W połączeniu z obfuskacją i etapowym wdrażaniem payloadów pozwala to złośliwym plikom wyglądać na nieaktywne podczas normalnego ruchu i aktywować się wyłącznie podczas celowych interakcji atakującego.

Wpływ na administratorów i obrońców

Dla administratorów IT i bezpieczeństwa kluczowym ryzykiem jest trwałe zdalne wykonywanie kodu w ramach przejętego konta hostingowego, nawet bez dostępu na poziomie root. W środowiskach współdzielonego hostingu lub z ograniczoną powłoką atakujący mogą nadal mieć wystarczające uprawnienia, aby:

• Modyfikować treści witryny
• Wdrażać PHP loadery
• Odtwarzać usunięte malware za pomocą zadań cron
• Utrzymywać długoterminowy dostęp przy minimalnym śladzie w logach

Może to utrudniać remediację, zwłaszcza gdy „samonaprawiające się” zaplanowane zadanie przywraca webshell po czyszczeniu.

Zalecane kolejne kroki

Administratorzy powinni zapoznać się ze wskazówkami Microsoft i nadać priorytet następującym działaniom:

• Przeprowadzić audyt aplikacji PHP i katalogów web root pod kątem podejrzanych, obfuskowanych skryptów
• Przejrzeć zaplanowane zadania i zadania cron pod kątem nieautoryzowanych mechanizmów trwałości
• Monitorować wzorce cookies powiązane z nietypowym wykonaniem po stronie serwera
• Włączyć i analizować detekcje oraz threat analytics w Microsoft Defender XDR
• Poszukiwać dostępnych z poziomu weba plików PHP, które zapisują lub dołączają wtórne payloady
• Zaostrzyć monitorowanie integralności plików i uprawnienia w środowiskach hostingowych Linux

Organizacje utrzymujące publicznie dostępne środowiska PHP powinny również zadbać o to, aby procedury reagowania na incydenty obejmowały kontrole trwałości przez cron, hunting webshelli sterowanych cookies oraz weryfikację po zakończeniu czyszczenia.