Giriş
Tehdit aktörleri, Linux sunucularında PHP tabanlı web shell’ler kullanarak HTTP çerezlerini kontrol kanalı olarak kullanmaya yönelik artan bir eğilim sergilemektedir. Bu durum, uzaktan kod yürütme yeteneği sağlaması açısından son derece kritiktir ve siber güvenlik uzmanları için önemli bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Microsoft Defender Güvenlik Araştırma Ekibi’nin bulgularına göre, bu web shell’ler, komut yürütmeyi URL parametreleri veya istek gövdesi aracılığıyla açığa çıkarmak yerine, CVE-2023-XXXX v.b. tehdit aktörlerine ait çerez değerlerine bağımlıdır. Bu yaklaşım, kötü amaçlı kodun normal uygulama yürütmesi sırasında hareketsiz kalmasına olanak tanırken, belirli çerez değerleri mevcut olduğunda web shell mantığını devreye sokar.
Bu kötü niyetli faaliyetler, çerez değerlerinin çalışma zamanında $_COOKIE superglobal değişkeni aracılığıyla kullanılabilir olduğuna dayanarak, saldırganlara sağlanan girdi verilere zarar vermeden kullanılmasına imkan tanır. Çerezler, normal web trafiği içinde kaynaşarak görünürlüğü azaltır ve dolayısıyla alarm işaretleri oluşturma olasılığını azaltır.
Etkilenen Sistemler
Tehdit aktörleri, cookie kontrollü yürütme modelinin birkaç farklı uygulamasını kullanmaktadır:
- Birden fazla obfuscation katmanını ve çalışma zamanı kontrollerini kullanan bir PHP yükleyici; yapılandırılmış çerez girişini çalıştırmak için şifrelenmiş ikinci bir yükü yürütmek üzere kullanır.
- Yapılandırılmış çerez verilerini bölerek işlevsel bileşenleri yeniden inşa eden bir PHP scripti; disk üzerine ikinci bir yük yazar ve bunu yürütür.
- Tek bir çerez değerini, tehdit aktörünün kontrolü altındaki eylemleri tetiklemek için kullanan bir PHP scripti; sağlanan girdileri yürütür ve dosya yüklemesi yapar.
Bu saldırıları gerçekleştirmek için, tehdit aktörleri genellikle geçerli kimlik bilgileri veya bilinen bir güvenlik açığından yararlanarak ilk erişimi elde eder ve bir cron işi kurarak şifreli bir PHP yükleyiciyi periyodik olarak çalıştırır.
Çözüm ve Korunma
Bu “kendi kendine iyileşen” mimari, PHP yükleyicisinin silinmesine rağmen, belirli bir süre aralıklarında yeniden oluşturulmasına olanak tanır. Yükleyici devreye girdiğinde, normal trafik sırasında inaktif kalmakta ve yalnızca belirli çerez değerleri ile HTTP isteklerinde harekete geçmektedir.
Microsoft, bu tehdidi karşılamak için aşağıdaki önlemleri önermektedir:
- Hosting kontrol panelleri, SSH erişimi ve yönetici arayüzlerinde çok faktörlü kimlik doğrulama uygulamak.
- Sıradışı giriş etkinliklerini izlemek.
- Shell yorumlayıcılarının yürütülmesini sınırlamak.
- Web sunucuları üzerindeki cron işleri ve planlı görevleri denetlemek.
- Web dizinlerinde şüpheli dosya oluşturulmalarını kontrol etmek.
- Hosting kontrol panellerinin shell yeteneklerini kısıtlamak.
Tehdit aktörleri, kontrollerini çerezler aracılığıyla kaydırarak kalıcı bir erişim sağlamakta ve bu durum birçok geleneksel denetim ve kayıt kontrolünü geçebilmektedir.
Sonuç olarak, sistem yöneticileri ve güvenlik uzmanları bu yeni tehdit modeline karşı hazırlıklı olmalı, yukarıdaki önlemleri almalı ve sistemlerini güncel tutmalıdır. Güvenlik açıklarına karşı gelen güncellemeleri yapmayı ve gereksiz portları kapatmayı ihmal etmemelidir.
