Clicky

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Los shells web PHP controlados por cookies persisten mediante Cron en servidores Linux

Categoría: Seguridad
Read Time: 4 mins
Visitas: 221
cookie PHP controla Linux

El cargador PHP se activa al recibir solicitudes HTTP con valores de cookies específicos

Según las conclusiones del equipo de investigación de seguridad de Microsoft Defender, los ciberdelincuentes utilizan cada vez más las cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código.

"En lugar de exponer la ejecución de comandos a través de parámetros URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por el atacante para controlar la ejecución, transmitir instrucciones y activar funcionalidades maliciosas", dijo el gigante tecnológico.

Este enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando se encuentran presentes valores de cookies específicos. Microsoft señaló que este comportamiento se extiende a las solicitudes web, las tareas programadas y los procesos en segundo plano de confianza.

La actividad maliciosa se aprovecha de que los valores de las cookies están disponibles en tiempo de ejecución a través de la variable superglobal $_COOKIE, lo que permite consumir datos proporcionados por el atacante sin necesidad de análisis adicionales. Además, es poco probable que esta técnica despierte sospechas, ya que las cookies se integran en el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies se presenta en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones en tiempo de ejecución antes de analizar la entrada estructurada de cookies para ejecutar una carga útil secundaria codificada.

• Un script PHP que segmenta los datos estructurados de las cookies para reconstruir componentes operativos como las funciones de manejo y decodificación de archivos, y que escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.

• Un script PHP que utiliza un único valor de cookie como marcador para activar acciones controladas por el atacante, incluyendo la ejecución de datos de entrada y la carga de archivos.

En al menos un caso, se ha descubierto que los ciberdelincuentes obtienen acceso inicial al entorno Linux alojado de la víctima mediante credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar una tarea programada (cron job) que invoca periódicamente una rutina de shell para ejecutar un cargador PHP ofuscado.

cookie HTTP

Esta arquitectura de "autorreparación" permite que el cargador PHP se recree repetidamente mediante la tarea programada, incluso si se eliminó durante las labores de limpieza y corrección, creando así un canal de ejecución de código remoto fiable y persistente. Una vez implementado, el cargador PHP permanece inactivo durante el tráfico normal y se activa al recibir solicitudes HTTP con valores de cookies específicos.

"Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose solo durante interacciones deliberadas", añadió Microsoft. "Al separar la persistencia mediante la recreación basada en cron del control de ejecución mediante la activación controlada por cookies, el atacante redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones rutinarios".

Un aspecto común que vincula todas las implementaciones mencionadas anteriormente es el uso de la ofuscación para ocultar funcionalidades sensibles y el control basado en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar esta amenaza, Microsoft recomienda implementar la autenticación multifactor para los paneles de control de alojamiento, el acceso SSH y las interfaces administrativas; supervisar la actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar las tareas programadas y los trabajos cron en los servidores web; comprobar si se crean archivos sospechosos en los directorios web; y limitar las capacidades de shell de los paneles de control de alojamiento.

"El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas tradicionales de ataques web shell», declaró Microsoft. "Al trasladar la lógica de control a las cookies, los ciberdelincuentes consiguen un acceso persistente tras la intrusión que puede eludir muchos controles tradicionales de inspección y registro".

"En lugar de recurrir a complejas cadenas de explotación, el atacante aprovechó las rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso".

#Cookie
#PHP
#Linux
#Cron

Jesus_Caceres

Related Articles

Política de cookies

Categoría: Sin categoría
Read Time: 11 mins
Visitas: 16064

Error en PHP a causa de SmartOptimizer

Categoría: Internet (Tutoriales y trucos)
Read Time: 3 mins
Visitas: 5246

Actualización de la Política de privacidad y uso de cookies en nuestros sitios web

Categoría: Noticias de Internet
Read Time: 1 min
Visitas: 1606

Main Menu