Веб-оболочки значительно расширили свои первоначальные возможности по выполнению удаленных команд и превратились в облегченные платформы для использования. Теперь они оснащены такими функциями, как выполнение в модуле оперативной памяти и шифрованная передача команд и контроля (C2), которые обеспечивают злоумышленникам большую гибкость при минимизации их цифрового влияния. Недавнее расследование выявило одну из таких веб-оболочек, связанную с печально известным набором инструментов, обычно используемым китайскоязычными хакерами. Это исследование подчеркивает сохраняющуюся актуальность этих инструментов, поскольку злоумышленники используют их для решения задач после эксплуатации, что объясняется их модульным и адаптируемым дизайном. В одном конкретном случае эвристический модуль Kaspersky Endpoint Security обнаружил веб-оболочку с именем HEUR:Backdoor.MSIL.WebShell.gen на сервере SharePoint правительственной инфраструктуры в Юго-Восточной Азии. Хакеры использовали различные варианты инструментов Potato для получения системных привилегий, используя модули, работающие только с памятью, или автономные исполняемые файлы. Примечательно, что автономный двоичный файл GodPotato успешно повысил привилегии, позволив злоумышленникам провести проверку доверия к домену и впоследствии определить потенциальные цели для перемещения в другую сторону. В ходе анализа особое внимание было уделено веб-оболочке Behinder, также известной как Rebeyond или Ice Scorpion. Этот кроссплатформенный бэкдор разработан для обеспечения совместимости с популярными веб-серверами, использующими PHP, Java или ASP.NET. Несмотря на то, что Behinder выглядит легким, он может похвастаться мощным графическим интерфейсом пользователя (GUI), который позволяет операторам осуществлять широкий контроль над уязвимыми средами. Его коммуникация защищена AES-шифрованием, что позволяет выполнять скрытые операции, которые часто не поддаются традиционным механизмам обнаружения. Модульная конструкция web shell также обеспечивает высокую степень кастомизации, дополненную наличием многочисленных руководств на китайском языке, что делает ее доступной для различных хакеров. Заметна взаимосвязь между наблюдаемыми артефактами памяти и исходным кодом веб-оболочки; веб-оболочка служит не просто начальной точкой опоры, но и полнофункциональным бэкдором. Это обеспечивает безопасную связь с инфраструктурой злоумышленников, возможность использовать встроенные или пользовательские библиотеки, проводить разведку и извлекать данные, сохраняя при этом скрытность. Несмотря на предыдущие обсуждения, касающиеся Behinder, его дальнейшая эволюция в качестве кибероружия отражает постоянную угрозу, которую он представляет. Более того, в исследовании подчеркивается неадекватность систем обнаружения, основанных на сигнатурах, для того, чтобы идти в ногу с быстро развивающимися хакерскими атаками. Использование исключительно этих методов может создать ложное ощущение безопасности, поскольку злоумышленники могут эффективно работать с памятью, избегая обнаружения. Этот инцидент демонстрирует критическую необходимость тщательного изучения артефактов памяти для выявления скрытых угроз, поскольку игнорирование таких деталей может привести к полному отсутствию инструментария. Динамичный характер угроз требует бдительности и гибкости в стратегиях обнаружения для борьбы со все более изощренными кибератаками.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция веб-оболочек: новая угроза кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.