Принимайте куки аккуратнее. Теперь в них прячется полноценное управление вашим сайтом
NewsMakerВ Microsoft предупредили о росте атак с использованием самовосстанавливающихся скриптов.
Согласно отчёту Microsoft, хакеры нашли способ прятать вредоносный код там, где его почти никто не ищет – прямо в обычных cookie-файлах . Такой подход позволяет им управлять заражёнными серверами почти незаметно и возвращаться к ним снова и снова.
Речь идёт о веб-оболочках на PHP – небольших вредоносных скриптах, которые дают удалённый доступ к серверу. Обычно такие инструменты принимают команды через адресную строку или тело запроса. Но теперь злоумышленники всё чаще используют cookie-файлы: пока в запросе нет нужного значения, вредоносный код никак себя не проявляет и выглядит как обычный файл.
Такая схема сильно снижает шансы обнаружения. Cookie выглядят как часть нормального веб-трафика, а значит, системы защиты реже их проверяют. Когда сервер получает «правильный» кук, скрипт собирает команды на лету и выполняет их. До этого момента файл остаётся полностью «тихим».
В разных атаках встречались несколько вариантов таких веб-оболочек. В одних случаях код дополнительно запутывали: функции собирались прямо во время работы, а важные части скрывались в закодированном виде. Иногда вредоносный скрипт сначала создавал другой файл с полезной нагрузкой и запускал его. Были и более простые версии – с одним ключом в cookie, который открывал доступ к выполнению команд или загрузке файлов.
Согласно отчёту Microsoft, хакеры нашли способ прятать вредоносный код там, где его почти никто не ищет – прямо в обычных cookie-файлах . Такой подход позволяет им управлять заражёнными серверами почти незаметно и возвращаться к ним снова и снова.
Речь идёт о веб-оболочках на PHP – небольших вредоносных скриптах, которые дают удалённый доступ к серверу. Обычно такие инструменты принимают команды через адресную строку или тело запроса. Но теперь злоумышленники всё чаще используют cookie-файлы: пока в запросе нет нужного значения, вредоносный код никак себя не проявляет и выглядит как обычный файл.
Такая схема сильно снижает шансы обнаружения. Cookie выглядят как часть нормального веб-трафика, а значит, системы защиты реже их проверяют. Когда сервер получает «правильный» кук, скрипт собирает команды на лету и выполняет их. До этого момента файл остаётся полностью «тихим».
В разных атаках встречались несколько вариантов таких веб-оболочек. В одних случаях код дополнительно запутывали: функции собирались прямо во время работы, а важные части скрывались в закодированном виде. Иногда вредоносный скрипт сначала создавал другой файл с полезной нагрузкой и запускал его. Были и более простые версии – с одним ключом в cookie, который открывал доступ к выполнению команд или загрузке файлов.