MalwareSchwachstellenHackerangriffe

Neue Angriffstaktik: Hacker nutzen HTTP-Cookies zur Steuerung von PHP-Webshells auf Linux-Servern

Neue Angriffstaktik: Hacker nutzen HTTP-Cookies zur Steuerung von PHP-Webshells auf Linux-Servern
Zusammenfassung

Cyberkriminelle nutzen zunehmend eine neue Taktik, um Linux-Server zu kompromittieren: Sie verstecken PHP-Web-Shells hinter HTTP-Cookies und installieren persistente Mechanismen über Cron-Jobs. Wie Microsoft Defender Security Research Team herausgefunden hat, ermöglicht dieser Ansatz es Angreifern, Befehle auszuführen, ohne verdächtige URL-Parameter oder Request-Body-Inhalte zu hinterlassen. Stattdessen wird die Malware durch spezifische Cookie-Werte aktiviert, was sie in normalem Webverkehr unsichtbar macht. Die sogenannte "Self-Healing"-Architektur ist besonders tückisch: Threat Actors erstellen via Cron-Job regelmäßig neu einen obfuskierten PHP-Loader, was bedeutet, dass die Malware selbst nach Bereinigungsmaßnahmen erneut erscheint. Diese Technik ist für traditionelle Sicherheitstools schwer zu erkennen, da Cookies zum normalen Datenverkehr gehören und minimale Spuren in Anwendungsprotokollen hinterlassen. Deutsche Unternehmen und Hosting-Provider sind potenziell betroffen, insbesondere wenn ihre Linux-Server über schwache Authentifizierungsmechanismen oder bekannte Schwachstellen zugänglich sind. Microsoft empfiehlt dringend, Multi-Faktor-Authentifizierung zu implementieren, verdächtige Login-Aktivitäten zu überwachen und Cron-Jobs regelmäßig zu überprüfen.

Die neuen Webshell-Implementierungen, die Microsoft analysiert hat, zeigen ein durchdacht konstruiertes Angriffsmuster. Angreifer verschaffen sich zunächst Zugang zur gehosteten Linux-Umgebung über gültige Anmeldedaten oder die Ausnutzung bekannter Sicherheitslücken. Im nächsten Schritt installieren sie einen Cron-Job, der in regelmäßigen Abständen automatisch ein obfuskiertes PHP-Loader-Skript ausführt.

Diese sogenannte “Self-Healing”-Architektur ist besonders raffiniert: Selbst wenn Sicherheitsteams die PHP-Loader während einer Bereinigung entfernen, werden diese durch den Cron-Job automatisch neu erstellt. Dadurch schaffen Angreifer eine zuverlässige und persistente Remote-Code-Execution-Verbindung, die außerordentlich schwer zu eliminieren ist.

Die eigentliche Steuerung der Malware erfolgt dann über HTTP-Cookies. Die PHP-Loader bleiben während des normalen Datenverkehrs inaktiv und werden nur bei Empfang von HTTP-Requests mit speziellen Cookie-Werten aktiviert. Die bösartigen Befehle sind in den $_COOKIE-Superglobal-Variablen versteckt, was eine zusätzliche Verarbeitung der Eingaben überflüssig macht.

Why ist diese Methode so effektiv? Cookies werden von Firewalls und Web-Application-Firewalls als legitimer Datenverkehr betrachtet. Sie heben sich nicht von normalem Webverkehr ab, wodurch traditionelle Inspektions- und Logging-Kontrollen getäuscht werden. Das reduziert nicht nur die Sichtbarkeit für Sicherheitsteams erheblich, sondern minimiert auch die Spuren in Anwendungsprotokollen.

Microsoft betont, dass Angreifer bei diesem Ansatz bewusst auf komplexe Exploit-Ketten verzichten. Stattdessen nutzen sie die bereits vorhandenen, legitimen Ausführungspfade der Umgebung: Web-Server-Prozesse, Control-Panel-Komponenten und die Cron-Infrastruktur. Das macht die Angriffe schwerer zu erkennen und zeigt hohe technische Raffinesse.

Zum Schutz empfiehlt Microsoft konkrete Maßnahmen: Mehrfaktor-Authentifizierung für Hosting-Control-Panels, SSH-Zugang und Admin-Interfaces sollten zwingend implementiert werden. Darüber hinaus sind regelmäßige Audits von Cron-Jobs, die Überwachung ungewöhnlicher Login-Aktivitäten und die Überprüfung von Dateioperationen in Web-Verzeichnissen essentiell. Auch die Beschränkung von Shell-Interpreter-Ausführung ist kritisch.

Ähnliche Artikel