PHP webshells na Linuxu: izbegavanje uz cookies
Sažetak
Microsoft upozorava da akteri pretnji koriste HTTP cookies za upravljanje PHP webshells u Linux hosting okruženjima, što pomaže zlonamernom kodu da ostane neaktivan osim kada su prisutne određene vrednosti cookies. Ova tehnika smanjuje vidljivost u rutinskim logovima, podržava postojanost kroz cron jobs i naglašava potrebu za jačim monitoringom, web zaštitom i endpoint detection na hostovanim Linux radnim opterećenjima.
Uvod
Microsoft je objavio novo istraživanje o prikrivenoj tehnici PHP webshells koja pogađa Linux hosting okruženja. Umesto upotrebe očiglednih URL parametara ili tela zahteva, napadači koriste HTTP cookies kao okidač i kanal za kontrolu zlonamernog izvršavanja, što ove webshells čini težim za uočavanje u uobičajenom web saobraćaju i logovima aplikacija.
Za timove za bezbednost i administratore koji upravljaju web aplikacijama hostovanim na Linuxu, ovo je važno jer tehnika omogućava postojanost sa malo šuma, odloženu aktivaciju i prikriveniji pristup nakon kompromitacije.
Šta je novo
Microsoft je uočio više varijanti PHP webshells koje se sve oslanjaju na izvršavanje uslovljeno cookies:
- Aktivacija kontrolisana putem cookies: Webshell ostaje neaktivan osim ako napadač ne pošalje određene vrednosti cookies.
- Višeslojna obfuskacija: Neke varijante dinamički ponovo sastavljaju PHP funkcije i logiku izvršavanja tokom rada kako bi izbegle statičku detekciju.
- Postepena isporuka payload-a: Nekoliko uzoraka rekonstruiše i upisuje sekundarne payload-e na disk samo kada su ispunjeni potrebni uslovi za cookies.
- Interaktivno ponašanje webshell-a: Jednostavnije verzije koriste jedan cookie kao ključ za omogućavanje izvršavanja komandi ili otpremanja fajlova.
- Postojanost zasnovana na cron-u: U jednom istraženom slučaju, napadači su koristili legitimne tokove rada hosting kontrolnog panela za registrovanje zakazanih zadataka koji su ponovo kreirali zlonamerni PHP loader ako bi bio uklonjen.
Zašto je ovo teže otkriti
Cookies često dobijaju manje pažnje od putanja zahteva, query string vrednosti ili POST tela. U PHP-u, vrednosti cookies su direktno dostupne kroz $_COOKIE, što ih čini pogodnim ulaznim kanalom za napadače. U kombinaciji sa obfuskacijom i postepenim postavljanjem payload-a, ovo omogućava da zlonamerni fajlovi deluju inertno tokom normalnog saobraćaja i aktiviraju se samo tokom namernih interakcija napadača.
Uticaj na administratore i branioce
Za IT i bezbednosne administratore, ključni rizik je trajno remote code execution unutar kompromitovanog hosting naloga, čak i bez pristupa na root nivou. U shared hosting ili ograničenim shell okruženjima, napadači i dalje mogu imati dovoljno dozvola da:
- Izmene web sadržaj
- Postave PHP loaders
- Ponovo kreiraju obrisani malware putem cron jobs
- Održe dugoročan pristup uz minimalan trag u logovima
To može zakomplikovati remedijaciju, naročito kada zakazani zadatak sa „self-healing“ funkcijom vrati webshell nakon čišćenja.
Preporučeni sledeći koraci
Administratori bi trebalo da pregledaju Microsoft smernice i daju prioritet sledećim radnjama:
- Izvrše audit PHP aplikacija i web root lokacija radi sumnjivih obfuskovanih skripti
- Pregledaju scheduled tasks i cron jobs radi neovlašćenih mehanizama postojanosti
- Prate obrasce cookies povezane sa neuobičajenim izvršavanjem na strani servera
- Omoguće i istraže Microsoft Defender XDR detections i threat analytics
- Traže web-dostupne PHP fajlove koji upisuju ili uključuju sekundarne payload-e
- Pojačaju file integrity monitoring i dozvole u Linux hosting okruženjima
Organizacije koje pokreću internet-facing PHP radna opterećenja takođe treba da obezbede da playbooks za incident response uključuju provere cron postojanosti, lov na webshells zasnovane na cookies i naknadnu validaciju nakon čišćenja.
Trebate pomoć sa Security?
Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.
Razgovarajte sa stručnjakomBudite u toku sa Microsoft tehnologijama