Исследователи безопасности Microsoft обнаружили изощренную и скрытную атакующую кампанию, нацеленную на серверы Linux. Злоумышленники развертывают PHP-веб-шеллы, которые уникальным образом используют HTTP-куки в качестве основного канала управления и контроля (C2) — техника, разработанная для уклонения от традиционных механизмов обнаружения. В отличие от обычных веб-шеллов, которые раскрывают вредоносные команды через легко отслеживаемые параметры URL или тела POST-запросов, эти шеллы остаются неактивными до тех пор, пока не будут активированы определенными значениями, предоставленными злоумышленником и встроенными непосредственно в поступающие HTTP-куки. Этот метод позволяет вредоносному коду незаметно сливаться с обычным веб-трафиком, что значительно затрудняет для средств безопасности и аналитиков выявление аномального поведения, указывающего на удаленное выполнение кода.
Механизм обеспечения устойчивости, используемый этими угрозами, не менее тревожен. Команда Microsoft Defender Security Research Team подробно описала, что после успешного компрометирования злоумышленники укрепляют свои позиции, создавая задания cron — запланированные задачи в системах Linux. Эти задания cron настроены на периодическое получение и выполнение вторичных полезных нагрузок или скриптов с серверов, контролируемых злоумышленниками. Такой двухуровневый подход гарантирует, что даже если первоначальный веб-шелл будет обнаружен и удален, задание cron будет упорно пытаться восстановить соединение и загрузить новые вредоносные компоненты, обеспечивая злоумышленникам устойчивое и долгосрочное присутствие на зараженном хосте. Использование cron для обеспечения устойчивости — это классическая, но эффективная техника, использующая легитимную системную функцию для сохранения доступа.
Данная кампания подчеркивает значительную эволюцию в тактике киберпреступников, нацеленных на веб-инфраструктуру. Перемещая канал управления из тела запроса в заголовок куки, злоумышленники эксплуатируют потенциальное слепое пятно во многих правилах межсетевых экранов веб-приложений (WAF) и конфигурациях логирования, которые могут не проверять содержимое куки с той же тщательностью, что и другие части HTTP-запроса. Специалистам по безопасности рекомендуется совершенствовать свои стратегии мониторинга, включая глубокую проверку значений куки на предмет подозрительных шаблонов или закодированных команд. Кроме того, тщательное укрепление серверов, включая регулярный аудит заданий cron и мониторинг целостности файлов в веб-каталогах, имеет критическое значение для обнаружения и нейтрализации таких продвинутых, безфайловых техник обеспечения устойчивости.
