**Microsoft Defender Security Research Team** の調査によると、攻撃者はHTTP Cookieを悪用して**Linux**サーバー上の**PHP**ベースのWebシェルを制御しており、これによりステルス性を高めたリモートコード実行を実現しています。 **Microsoft**は、「コマンド実行をURLパラメータやリクエストボディ経由で公開するのではなく、これらのWebシェルは、攻撃者が提供するCookie値に依存して実行をゲートし、指示を渡し、悪意のある機能をアクティブ化します」と述べています。 ### ステルス性の利点 このアプローチは、悪意のあるコードが通常のアプリケーション実行中は休眠状態にあるため、ステルス性が向上します。Webシェルのロジックは、特定のCookie値が存在する場合にのみアクティブ化されます。この動作は、Webリクエスト、スケジュールされたタスク、および信頼されたバックグラウンドワーカーにまで及びます。 この悪意のあるアクティビティは、Cookie値が**PHP**の`$_COOKIE`スーパーグローバル変数を通じて実行時に容易に利用可能であるという事実を利用しています。これにより、追加の解析なしに攻撃者が提供した入力を消費できます。さらに、Cookieは通常のWebトラフィックに溶け込むため、この手法は警告を発する可能性が低く、可視性が低下します。 ### 実装のバリエーション Cookie制御の実行モデルには、さまざまな実装があります。 * 構造化されたCookie入力を解析してエンコードされた二次ペイロードを実行する前に、複数の層の難読化と実行時チェックを使用する**PHP**ローダー。 * ファイル処理やデコード機能などの運用コンポーネントを再構築するために構造化されたCookieデータをセグメント化し、二次ペイロードを条件付きでディスクに書き込んで実行する**PHP**スクリプト。 * 単一のCookie値をマーカーとして使用し、提供された入力の実行やファイルアップロードを含む、攻撃者が制御するアクションをトリガーする**PHP**スクリプト。 ### 初期アクセスと永続化 少なくとも1つの事例では、攻撃者は正規の認証情報または既知のセキュリティ脆弱性の悪用を通じて、被害者のホストされている**Linux**環境への初期アクセスを獲得しました。このアクセスは、難読化された**PHP**ローダーを実行するためにシェルルーチンを定期的に呼び出すcronジョブを設定するために使用されました。  この「自己修復」アーキテクチャにより、たとえクリーンアップの試み中に削除されたとしても、スケジュールされたタスクによって**PHP**ローダーが繰り返し再作成されます。これにより、信頼性が高く永続的なリモートコード実行チャネルが作成されます。展開されると、**PHP**ローダーは通常のトラフィック中は非アクティブなままで、特定のCookie値を持つHTTPリクエストを受信した場合にのみアクティブ化されます。 **Microsoft**は、「実行制御をCookieに移行することで、Webシェルは通常のトラフィックに隠れて、意図的な対話中にのみアクティブ化できます」と付け加えています。「cronベースの再作成による永続化とCookieゲートされたアクティベーションによる実行制御を分離することにより、攻撃者は運用上のノイズを削減し、通常のアプリケーションログにおける観測可能なインジケーターを制限しました。」 すべての実装に共通する側面は、機密性の高い機能を隠蔽するための難読化の使用と、悪意のあるアクションを開始するためのCookieベースのゲーティングであり、インタラクティブなフットプリントを最小限に抑えています。 ### 緩和戦略 この脅威に対抗するために、**Microsoft**は以下を推奨しています。 * ホスティングコントロールパネル、SSHアクセス、および管理インターフェイスの多要素認証の強制。 * 異常なログインアクティビティの監視。 * シェルインタープリタの実行の制限。 * Webサーバー全体のcronジョブとスケジュールされたタスクの監査。 * Webディレクトリでの疑わしいファイル作成のチェック。 * ホスティングコントロールパネルのシェル機能を制限する。 **Microsoft**は、「Cookieの制御メカニズムとしての継続的な使用は、確立されたWebシェル取引慣行の再利用を示唆しています」と述べています。「制御ロジックをCookieに移行することにより、攻撃者は多くの従来の検査およびログ制御を回避できる永続的なポストコンプロマイズアクセスを可能にします。」 「複雑なエクスプロイトチェーンに依存するのではなく、攻撃者はWebサーバープロセス、コントロールパネルコンポーネント、およびcronインフラストラクチャを含む、環境に既に存在する正当な実行パスを利用して、悪意のあるコードをステージングおよび保存しました。」