Neue Bedrohung: PHP-Webshells über Cookies

Die Microsoft Defender Security Research Team hat alarmierende neue Erkenntnisse über die Nutzung von HTTP-Cookies als Kontrollkanal für PHP-basierte Webshells auf Linux-Servern veröffentlicht. Diese Technik ermöglicht es Bedrohungsakteuren, Remote-Code-Ausführung zu erreichen, ohne die üblichen Methoden wie URL-Parameter oder Anfragekörper zu verwenden. Stattdessen setzen sie auf von ihnen bereitgestellte Cookie-Werte, um die Ausführung ihrer schädlichen Befehle zu steuern.

Die Verwendung von Cookies als Steuerungskanal stellt eine signifikante Abweichung von traditionellen Angriffsmethoden dar. Angreifer können durch diese Technik die Erkennung durch Sicherheitslösungen erschweren, da die Kommunikation über Cookies oft als weniger verdächtig angesehen wird. Diese Entwicklung könnte die Sicherheitslandschaft erheblich verändern, da viele Organisationen möglicherweise nicht auf diese Art von Bedrohung vorbereitet sind.

Technische Details der Angriffe

Die Angreifer implementieren PHP-Webshells, die in der Lage sind, über HTTP-Cookies Befehle zu empfangen. Diese Webshells sind oft in legitimen Webanwendungen versteckt, was es den Angreifern erleichtert, unentdeckt zu bleiben. Die Verwendung von Cookies ermöglicht es den Angreifern, die Kontrolle über die Webshells zu behalten, ohne dass sie ständig auf die Server zugreifen müssen. Dies erhöht die Persistenz der Angriffe und erschwert die Erkennung durch Sicherheitsmaßnahmen.

Ein weiterer Aspekt dieser Angriffe ist die Möglichkeit, dass die Bedrohungsakteure die Cookies so konfigurieren, dass sie nur zu bestimmten Zeiten oder unter bestimmten Bedingungen aktiv sind. Dies wird häufig durch die Verwendung von Cron-Jobs auf den betroffenen Linux-Servern erreicht. Diese Technik ermöglicht es den Angreifern, ihre Aktivitäten zu planen und zu steuern, was die Wahrscheinlichkeit erhöht, dass sie unentdeckt bleiben.

Die Microsoft-Studie hebt hervor, dass die Angreifer oft auf bekannte Schwachstellen in Webanwendungen abzielen, um ihre Webshells zu installieren. Sobald die Webshell installiert ist, können die Angreifer die Kontrolle über den Server übernehmen und verschiedene schädliche Aktivitäten durchführen, einschließlich Datenexfiltration und das Einfügen weiterer Malware.

Schutzmaßnahmen und Empfehlungen

Um sich gegen diese Art von Angriffen zu schützen, empfiehlt Microsoft, dass Organisationen ihre Webanwendungen regelmäßig auf Schwachstellen überprüfen und sicherstellen, dass alle verwendeten Softwarekomponenten auf dem neuesten Stand sind. Die Implementierung von Web Application Firewalls (WAF) kann ebenfalls helfen, verdächtige Aktivitäten zu erkennen und zu blockieren.

Zusätzlich sollten Unternehmen sicherstellen, dass sie über umfassende Protokollierungs- und Überwachungsmechanismen verfügen, um verdächtige Aktivitäten schnell zu identifizieren. Die Schulung von Mitarbeitern in Bezug auf Sicherheitsbewusstsein kann ebenfalls dazu beitragen, das Risiko von Angriffen zu verringern. Die Verwendung von Windows 11 Enterprise- LTSC 2024 kann Organisationen dabei unterstützen, Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.

Die Erkenntnisse des Microsoft Defender Security Research Teams verdeutlichen die Notwendigkeit, sich kontinuierlich über neue Bedrohungen und Angriffstechniken zu informieren. Die Bedrohungslandschaft entwickelt sich ständig weiter, und es ist entscheidend, dass Unternehmen proaktive Maßnahmen ergreifen, um ihre Systeme zu schützen. Die Verwendung von Cookies als Steuerungskanal für Webshells ist ein Beispiel dafür, wie Angreifer innovative Methoden entwickeln, um Sicherheitsmaßnahmen zu umgehen.