Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados en PHP en servidores Linux y para conseguir la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.
“En sitio de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en títulos de cookies proporcionados por los actores de amenazas para controlar la ejecución, producirse instrucciones y activar funciones maliciosas”, dijo el gigantesco tecnológico.
El enfoque ofrece maduro sigilo, ya que permite que el código pillo permanezca inactivo durante la ejecución frecuente de la aplicación y active la deducción del shell web solo cuando están presentes títulos de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.
La actividad maliciosa aprovecha el hecho de que los títulos de las cookies están disponibles en tiempo de ejecución a través de la variable superglobal $_COOKIE, lo que permite consumir las entradas proporcionadas por el atacante sin descomposición adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web frecuente y reducen la visibilidad.
El maniquí de ejecución controlado por cookies viene en diferentes implementaciones:
- Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antiguamente de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
- Un script PHP que segmenta datos de cookies estructurados para restablecer componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
- Un script PHP que utiliza un único valencia de cookie como grabador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.
En al menos un caso, se ha descubierto que los actores de amenazas obtienen paso auténtico al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.
Esta edificación de “autocuración” permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de castidad y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico frecuente y entra en argumento al cobrar solicitudes HTTP con títulos de cookies específicos.
“Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico frecuente, activándose sólo durante interacciones deliberadas”, añadió Microsoft. “Al separar la persistencia a través de la solaz basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operante y limitó los indicadores observables en los registros de aplicaciones de rutina”.
Un aspecto global que une todas las implementaciones antiguamente mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la argumento maliciosa, dejando al mismo tiempo una huella interactiva mínima.
Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el paso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y prohibir las capacidades de shell de los paneles de control de hosting.
“El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas”, dijo Microsoft. “Al trasladar la deducción de control a las cookies, los actores de amenazas permiten un paso persistente posterior al compromiso que puede escamotear muchos controles tradicionales de inspección y registro”.
“En sitio de necesitar de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código pillo”.
