Microsoft beschreibt, dass das cookiegesteuerte Ausführungsmodell in unterschiedlichen Varianten auftritt. In mindestens einem Fall verschafften sich Angreifer zunächst Zugang zu einer gehosteten Linux-Umgebung – entweder über gültige Zugangsdaten oder durch Ausnutzung einer bekannten Schwachstelle.
Anschließend richteten sie einen Cron-Job ein, der in regelmäßigen Abständen eine Shell-Routine aufruft und darüber einen verschleierten PHP-Loader ausführt. Diese „selbstheilende" Architektur sorgt dafür, dass der PHP-Loader durch die geplante Aufgabe immer wieder neu erzeugt wird – selbst dann, wenn er im Zuge von Bereinigungs- und Wiederherstellungsmaßnahmen entfernt wurde. So entsteht ein zuverlässiger und dauerhafter Kanal zur Codeausführung aus der Ferne.
Ist der PHP-Loader einmal platziert, bleibt er bei normalem Datenverkehr inaktiv und wird erst durch HTTP-Anfragen mit bestimmten Cookie-Werten aktiv. „Indem die Ausführungssteuerung in Cookies verlagert wird, kann die Webshell im normalen Verkehr verborgen bleiben und sich nur bei gezielten Interaktionen aktivieren", erklärt Microsoft. Durch die Trennung von Persistenz über die Cron-basierte Neuerstellung und Ausführungssteuerung über die cookiegesteuerte Aktivierung verringerten die Angreifer ihre Spuren und hinterließen in den üblichen Anwendungsprotokollen kaum beobachtbare Indikatoren.
Allen beschriebenen Varianten gemeinsam ist laut Microsoft die Verschleierung sensibler Funktionen sowie die cookiebasierte Freischaltung der schädlichen Aktion bei zugleich minimalem interaktivem Fußabdruck. Der konsequente Einsatz von Cookies als Steuerungsmechanismus deute auf die Wiederverwendung etablierter Webshell-Methoden hin. Statt auf komplexe Exploit-Ketten zu setzen, nutzten die Angreifer bereits in der Umgebung vorhandene, legitime Ausführungswege – darunter Web-Server-Prozesse, Komponenten von Hosting-Kontrollpanels und die Cron-Infrastruktur –, um Schadcode einzuschleusen und zu erhalten.
Zur Abwehr empfiehlt Microsoft mehrere Maßnahmen: Multi-Faktor-Authentifizierung für Hosting-Kontrollpanels, SSH-Zugänge und administrative Schnittstellen erzwingen, ungewöhnliche Anmeldeaktivitäten überwachen, die Ausführung von Shell-Interpretern einschränken, Cron-Jobs und geplante Aufgaben auf Web-Servern prüfen, verdächtige Dateierstellung in Web-Verzeichnissen kontrollieren sowie die Shell-Fähigkeiten von Hosting-Kontrollpanels begrenzen.
