🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores de ameaças estão usando cada vez mais cookies HTTP como canal de controle para shells da Web baseados em PHP em servidores Linux e para obter execução remota de código, de acordo com descobertas da equipe de pesquisa de segurança do Microsoft Defender.
“Em vez de expor a execução de comandos por meio de parâmetros de URL ou corpos de solicitação, esses web shells dependem de valores de cookies fornecidos pelos atores da ameaça para bloquear a execução, passar instruções e ativar funcionalidades maliciosas”, disse a gigante da tecnologia.
A abordagem oferece mais furtividade, pois permite que códigos maliciosos permaneçam inativos durante a execução normal do aplicativo e ativem a lógica do web shell somente quando valores de cookies específicos estiverem presentes. Esse comportamento, observou a Microsoft, se estende a solicitações da Web, tarefas agendadas e funcionários em segundo plano confiáveis.
A atividade maliciosa aproveita o fato de que os valores dos cookies estão disponíveis em tempo de execução por meio da variável superglobal $_COOKIE, permitindo que as entradas fornecidas pelo invasor sejam consumidas sem análise adicional. Além do mais, é improvável que a técnica levante quaisquer sinais de alerta, pois os cookies se misturam ao tráfego normal da web e reduzem a visibilidade.
O modelo de execução controlado por cookies vem em diferentes implementações -
Um carregador PHP que usa várias camadas de ofuscação e verificações de tempo de execução antes de analisar a entrada de cookie estruturado para executar uma carga secundária codificada.
Um script PHP que segmenta dados estruturados de cookies para reconstruir componentes operacionais, como manipulação de arquivos e funções de decodificação, e grava condicionalmente uma carga secundária no disco e a executa.
Um script PHP que usa um único valor de cookie como marcador para acionar ações controladas pelo agente da ameaça, incluindo a execução de entrada fornecida e upload de arquivo.
Em pelo menos um caso, descobriu-se que os agentes da ameaça obtiveram acesso inicial ao ambiente Linux hospedado da vítima por meio de credenciais válidas ou da exploração de uma vulnerabilidade de segurança conhecida para configurar um cron job que invoca periodicamente uma rotina de shell para executar um carregador PHP ofuscado.
Essa arquitetura de "autocorreção" permite que o carregador PHP seja recriado repetidamente pela tarefa agendada, mesmo que tenha sido removido como parte dos esforços de limpeza e correção, criando assim um canal de execução remota de código confiável e persistente. Depois que o carregador PHP é implantado, ele permanece inativo durante o tráfego normal e entra em ação ao receber solicitações HTTP com valores de cookies específicos.
“Ao transferir o controle de execução para cookies, o web shell pode permanecer oculto no tráfego normal, ativando-se apenas durante interações deliberadas”, acrescentou a Microsoft. "Ao separar a persistência por meio da recriação baseada em cron do controle de execução por meio da ativação controlada por cookies, o agente da ameaça reduziu o ruído operacional e limitou os indicadores observáveis nos registros de aplicativos de rotina."
Um aspecto comum que une todas as implementações mencionadas acima é o uso de ofuscação para ocultar funcionalidades confidenciais e controle baseado em cookies para iniciar a ação maliciosa, deixando ao mesmo tempo uma pegada interativa mínima.
Para combater a ameaça, a Microsoft recomenda aplicar a autenticação multifator para hospedagem de painéis de controle, acesso SSH e interfaces administrativas; monitoramento de atividades de login incomuns; restringir a execução de interpretadores de shell; auditar cron jobs e tarefas agendadas em servidores web; verificação de criação de arquivos suspeitos em diretórios da web; e limitar os recursos de shell dos painéis de controle de hospedagem.
“O uso consistente de cookies como mecanismo de controle sugere a reutilização de práticas comerciais estabelecidas de web shell”, disse a Microsoft. “Ao transferir a lógica de controle para cookies, os agentes de ameaças permitem acesso persistente pós-comprometimento que pode escapar de muitos controles tradicionais de inspeção e registro.”
"Em vez de depender de cadeias de exploração complexas, o agente da ameaça aproveitou caminhos de execução legítimos já presentes no ambiente, incluindo processos de servidor web, componentes de painel de controle e infraestrutura cron, para preparar e preservar código malicioso."
“Em vez de expor a execução de comandos por meio de parâmetros de URL ou corpos de solicitação, esses web shells dependem de valores de cookies fornecidos pelos atores da ameaça para bloquear a execução, passar instruções e ativar funcionalidades maliciosas”, disse a gigante da tecnologia.
A abordagem oferece mais furtividade, pois permite que códigos maliciosos permaneçam inativos durante a execução normal do aplicativo e ativem a lógica do web shell somente quando valores de cookies específicos estiverem presentes. Esse comportamento, observou a Microsoft, se estende a solicitações da Web, tarefas agendadas e funcionários em segundo plano confiáveis.
A atividade maliciosa aproveita o fato de que os valores dos cookies estão disponíveis em tempo de execução por meio da variável superglobal $_COOKIE, permitindo que as entradas fornecidas pelo invasor sejam consumidas sem análise adicional. Além do mais, é improvável que a técnica levante quaisquer sinais de alerta, pois os cookies se misturam ao tráfego normal da web e reduzem a visibilidade.
O modelo de execução controlado por cookies vem em diferentes implementações -
Um carregador PHP que usa várias camadas de ofuscação e verificações de tempo de execução antes de analisar a entrada de cookie estruturado para executar uma carga secundária codificada.
Um script PHP que segmenta dados estruturados de cookies para reconstruir componentes operacionais, como manipulação de arquivos e funções de decodificação, e grava condicionalmente uma carga secundária no disco e a executa.
Um script PHP que usa um único valor de cookie como marcador para acionar ações controladas pelo agente da ameaça, incluindo a execução de entrada fornecida e upload de arquivo.
Em pelo menos um caso, descobriu-se que os agentes da ameaça obtiveram acesso inicial ao ambiente Linux hospedado da vítima por meio de credenciais válidas ou da exploração de uma vulnerabilidade de segurança conhecida para configurar um cron job que invoca periodicamente uma rotina de shell para executar um carregador PHP ofuscado.
Essa arquitetura de "autocorreção" permite que o carregador PHP seja recriado repetidamente pela tarefa agendada, mesmo que tenha sido removido como parte dos esforços de limpeza e correção, criando assim um canal de execução remota de código confiável e persistente. Depois que o carregador PHP é implantado, ele permanece inativo durante o tráfego normal e entra em ação ao receber solicitações HTTP com valores de cookies específicos.
“Ao transferir o controle de execução para cookies, o web shell pode permanecer oculto no tráfego normal, ativando-se apenas durante interações deliberadas”, acrescentou a Microsoft. "Ao separar a persistência por meio da recriação baseada em cron do controle de execução por meio da ativação controlada por cookies, o agente da ameaça reduziu o ruído operacional e limitou os indicadores observáveis nos registros de aplicativos de rotina."
Um aspecto comum que une todas as implementações mencionadas acima é o uso de ofuscação para ocultar funcionalidades confidenciais e controle baseado em cookies para iniciar a ação maliciosa, deixando ao mesmo tempo uma pegada interativa mínima.
Para combater a ameaça, a Microsoft recomenda aplicar a autenticação multifator para hospedagem de painéis de controle, acesso SSH e interfaces administrativas; monitoramento de atividades de login incomuns; restringir a execução de interpretadores de shell; auditar cron jobs e tarefas agendadas em servidores web; verificação de criação de arquivos suspeitos em diretórios da web; e limitar os recursos de shell dos painéis de controle de hospedagem.
“O uso consistente de cookies como mecanismo de controle sugere a reutilização de práticas comerciais estabelecidas de web shell”, disse a Microsoft. “Ao transferir a lógica de controle para cookies, os agentes de ameaças permitem acesso persistente pós-comprometimento que pode escapar de muitos controles tradicionais de inspeção e registro.”
"Em vez de depender de cadeias de exploração complexas, o agente da ameaça aproveitou caminhos de execução legítimos já presentes no ambiente, incluindo processos de servidor web, componentes de painel de controle e infraestrutura cron, para preparar e preservar código malicioso."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #detalha #shells #da #web #php #controlados #por #cookies #que #persistem #via #cron #em #servidores #linux
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário