كشف باحثو الأمن في مايكروسوفت عن حملة هجومية متطورة وخفيّة تستهدف خوادم لينكس. حيث يقوم الجهات الفاعلة الخبيثة بنشر برمجيات ويب خبيثة (Web Shells) مبنية بلغة PHP تستخدم بشكل فريد كوكيز HTTP كقناة أساسية للتحكم والسيطرة، وهي تقنية مصممة للتجنب من آليات الكشف التقليدية. على عكس برمجيات الويب الخبيثة التقليدية التي تعرض أوامرها الضارة من خلال معلمات URL أو هيئات طلبات POST التي يمكن مراقبتها بسهولة، تبقى هذه البرمجيات خاملة حتى يتم تنشيطها بواسطة قيم محددة يزودها المهاجم وتُضمن مباشرة داخل كوكيز HTTP الواردة. تسمح هذه الطريقة للكود الضار بالاندماج بسلاسة مع حركة مرور الويب العادية، مما يجعل من الصعب بشكل كبير على أدوات الأمن والمحللين تحديد السلوك غير الطبيعي الدال على تنفيذ الأوامر عن بُعد.
آلية الاستمرارية التي تستخدمها هذه التهديدات مقلقة بنفس القدر. أوضحت فريق أبحاث أمن Defender التابع لمايكروسوفت أنه بعد الاختراق الناجح، يقيم المهاجمون موطئ قدم من خلال إنشاء مهام cron مجدولة - وهي مهام مجدولة مسبقًا على أنظمة لينكس. يتم تكوين هذه المهام للتجدد بانتظام لجلب وتنفيذ حمولات أو نصوص برمجية ثانوية من خوادم يتحكم فيها المهاجم. يضمن هذا النهج ذو الطبقتين أنه حتى في حالة اكتشاف برمجية الويب الخبيثة الأولية وإزالتها، ستستمر مهمة cron في محاولة إعادة إنشاء الاتصال وتنزيل مكونات ضارة جديدة، مما يمنح الجهات الفاعلة الخبيثة وجودًا مرنًا وطويل الأمد على المضيف المصاب. يعد استخدام cron للاستمرارية تقنية كلاسيكية لكنها فعالة، تستفيد من ميزة نظام شرعية للحفاظ على الوصول.
تسلط هذه الحملة الضوء على تطور كبير في تكتيكات مجرمي الإنترنت الذين يستهدفون البنية التحتية للويب. من خلال نقل قناة التحكم من هيئة الطلب إلى رأس الكوكيز، يستغل المهاجمون نقطة عمياء محتملة في العديد من قواعد جدار حماية تطبيقات الويب (WAF) وتكوينات التسجيل، التي قد لا تفحص محتويات الكوكيز بنفس الدقة مثل أجزاء أخرى من طلب HTTP. يُنصح فرق الأمن بتعزيز استراتيجيات المراقبة الخاصة بهم لتشمل الفحص العميق لقيم الكوكيز للبحث عن أنماط مشبوهة أو أوامر مشفرة. علاوة على ذلك، يعد تعزيز الخوادم بقوة، بما في ذلك المراجعات الدورية لمهام cron ومراقبة سلامة الملفات لأدلة الويب، أمرًا بالغ الأهمية للكشف عن هذه التقنيات المتقدمة للاستمرارية عديمة الملفات والتخفيف من حدتها.
