PHP webshells на Linux: скрытое управление через cookie

Введение

Microsoft опубликовала новое исследование о скрытной технике PHP webshell, затрагивающей Linux-среды хостинга. Вместо очевидных URL-параметров или тел запросов злоумышленники используют HTTP cookie как канал запуска и управления вредоносным выполнением, из-за чего такие webshells сложнее заметить в обычном веб-трафике и журналах приложений.

Для команд безопасности и администраторов, управляющих веб-приложениями на Linux-хостинге, это важно, потому что техника обеспечивает малошумное закрепление, отложенную активацию и более скрытный доступ после компрометации.

Что нового

Microsoft обнаружила несколько вариантов PHP webshell, которые зависят от выполнения, управляемого через cookie:

• Активация через cookie: Webshell остаётся неактивным, пока злоумышленник не отправит определённые значения cookie.
• Многоуровневая обфускация: Некоторые варианты динамически пересобирают PHP-функции и логику выполнения во время работы, чтобы избежать статического обнаружения.
• Поэтапная доставка payload: Несколько образцов восстанавливают и записывают вторичные payload на диск только при выполнении необходимых условий cookie.
• Интерактивное поведение webshell: Более простые версии используют один cookie как ключ для включения выполнения команд или загрузки файлов.
• Закрепление через cron: В одном исследованном случае злоумышленники использовали легитимные процессы панели управления хостингом для регистрации scheduled tasks, которые заново создавали вредоносный PHP loader, если его удаляли.

Почему это сложнее обнаружить

Cookie часто получают меньше внимания, чем пути запросов, строки запросов или POST bodies. В PHP значения cookie доступны напрямую через $_COOKIE, что делает их удобным входным каналом для злоумышленников. В сочетании с обфускацией и поэтапным развёртыванием payload это позволяет вредоносным файлам выглядеть неактивными при обычном трафике и активироваться только во время целенаправленных действий злоумышленника.

Влияние на администраторов и защиту

Для IT- и security-администраторов ключевой риск заключается в устойчивом удалённом выполнении кода внутри скомпрометированной учётной записи хостинга даже без доступа уровня root. В средах shared hosting или с ограниченной shell-средой у злоумышленников всё равно может быть достаточно прав, чтобы:

• Изменять веб-контент
• Развёртывать PHP loaders
• Восстанавливать удалённое вредоносное ПО через cron jobs
• Поддерживать долгосрочный доступ с минимальным следом в логах

Это может усложнить remediation, особенно если «самовосстанавливающаяся» scheduled task возвращает webshell после очистки.

Рекомендуемые следующие шаги

Администраторам следует изучить рекомендации Microsoft и отдать приоритет следующим действиям:

• Проверить PHP-приложения и веб-каталоги на наличие подозрительных обфусцированных скриптов
• Проверить scheduled tasks и cron jobs на предмет несанкционированных механизмов закрепления
• Отслеживать шаблоны cookie, связанные с необычным выполнением на стороне сервера
• Включить и расследовать срабатывания Microsoft Defender XDR и threat analytics
• Искать доступные через веб PHP-файлы, которые записывают или подключают вторичные payload
• Усилить monitoring целостности файлов и разрешения в Linux-средах хостинга

Организациям, использующим доступные из интернета PHP-нагрузки, также следует убедиться, что playbooks реагирования на инциденты включают проверки закрепления через cron, поиск webshells на основе cookie и последующую валидацию после очистки.