Atores de ameaça estão usando cada vez mais cookies HTTP como canal de controle para web shells em PHP em servidores Linux e para obter execução remota de código, segundo a Microsoft Defender Security Research Team.
Em vez de expor a execução de comandos por meio de parâmetros de URL ou do corpo das requisições, esses web shells dependem de valores de cookie fornecidos pelo invasor para liberar a execução, transmitir instruções e acionar funcionalidades maliciosas, afirmou a empresa.
A abordagem aumenta o sigilo da operação, já que o código malicioso pode permanecer inativo durante o funcionamento normal da aplicação e só aciona a lógica do web shell quando determinados valores de cookie são apresentados.
De acordo com a Microsoft, esse comportamento também se estende a requisições web, tarefas agendadas e processos de fundo confiáveis.
A atividade maliciosa explora o fato de que os valores dos cookies ficam disponíveis em tempo de execução por meio da superglobal $_COOKIE, permitindo que entradas controladas pelo atacante sejam consumidas sem necessidade de parsing adicional.
Além disso, a técnica dificilmente chama atenção, pois os cookies se misturam ao tráfego web legítimo e reduzem a visibilidade.
Esse modelo de execução controlado por cookie aparece em diferentes implementações:
Um PHP loader que usa várias camadas de obfuscation e verificações em tempo de execução antes de interpretar a entrada estruturada do cookie para executar um payload secundário codificado.
Um script PHP que segmenta dados estruturados do cookie para reconstruir componentes operacionais, como funções de manipulação de arquivos e de decodificação, e que, de forma condicional, grava um payload secundário em disco e o executa.
Um script PHP que usa um único valor de cookie como marcador para disparar ações controladas pelo invasor, incluindo a execução da entrada enviada e o upload de arquivos.
Em pelo menos um caso, a Microsoft identificou que os atores de ameaça obtiveram acesso inicial ao ambiente Linux hospedado da vítima por meio de credenciais válidas ou da exploração de uma vulnerabilidade conhecida, para configurar um cron job que invoca periodicamente uma rotina de shell e executa um PHP loader ofuscado.
Essa arquitetura de self-healing permite que o PHP loader seja recriado repetidamente pela tarefa agendada, mesmo que tenha sido removido em ações de limpeza e remediação, criando um canal confiável e persistente de execução remota de código.
Depois de implantado, o loader permanece inativo durante o tráfego normal e entra em ação quando recebe requisições HTTP com valores específicos de cookie.
“Ao deslocar o controle de execução para os cookies, o web shell pode permanecer oculto no tráfego normal, ativando-se apenas durante interações deliberadas”, acrescentou a Microsoft.
“Ao separar a persistência, feita pela recriação baseada em cron, do controle de execução, acionado por cookies, o ator de ameaça reduziu o ruído operacional e limitou indicadores observáveis nos logs rotineiros da aplicação.”
Um ponto em comum entre todas as implementações é o uso de obfuscation para esconder funcionalidades sensíveis e de gating baseado em cookie para iniciar a ação maliciosa, mantendo ao mesmo tempo uma pegada interativa mínima.
Para enfrentar essa ameaça, a Microsoft recomenda reforçar a autenticação multifator para painéis de hospedagem, acesso SSH e interfaces administrativas, monitorar atividades de login incomuns, restringir a execução de shell interpreters, auditar cron jobs e tarefas agendadas em servidores web, verificar a criação suspeita de arquivos em diretórios web e limitar as capacidades de shell dos painéis de hospedagem.
“O uso consistente de cookies como mecanismo de controle sugere reutilização de táticas já estabelecidas de web shell”, afirmou a Microsoft.
“Ao mover a lógica de controle para os cookies, os atores de ameaça viabilizam acesso persistente pós-comprometimento que pode escapar de muitos controles tradicionais de inspeção e logging.”
“Em vez de depender de cadeias complexas de exploit, o ator de ameaça explorou caminhos legítimos de execução já presentes no ambiente, incluindo processos do web server, componentes do painel de controle e infraestrutura de cron, para preparar e preservar o código malicioso.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...