Microsoft Ungkap Web Shell PHP Terkontrol Cookie dengan Persistensi Cron di Server Linux

Microsoft baru-baru ini mengungkap teknik canggih yang digunakan oleh pelaku ancaman siber untuk mengendalikan web shell berbasis PHP melalui cookie HTTP pada server Linux. Teknik ini memungkinkan eksekusi kode jarak jauh (RCE) yang persisten dengan memanfaatkan cron job untuk mereplikasi web shell secara otomatis, sehingga mengurangi kemungkinan terdeteksi dalam log lalu lintas aplikasi biasa.

Penggunaan Cookie sebagai Kanal Kontrol Web Shell PHP

Menurut penjelasan dari Tim Penelitian Keamanan Microsoft Defender, pelaku ancaman kini semakin memanfaatkan cookie HTTP sebagai media kontrol utama web shell PHP pada server Linux.

"Alih-alih mengekspos eksekusi perintah melalui parameter URL atau isi permintaan, web shell ini mengandalkan nilai cookie yang disediakan pelaku untuk mengendalikan eksekusi, mengirim instruksi, dan mengaktifkan fungsi berbahaya,"

Metode ini menambah tingkat stealth karena kode berbahaya tetap tidak aktif selama proses aplikasi normal dan hanya aktif saat cookie tertentu terkirim dalam permintaan HTTP. Perilaku serupa juga diterapkan pada permintaan web, tugas terjadwal (cron), dan proses latar belakang yang dipercaya.

Bagaimana Cookie Memungkinkan Eksekusi Kode Berbahaya

Cookie tersedia saat runtime melalui variabel superglobal $_COOKIE di PHP, memungkinkan input dari pelaku langsung diproses tanpa parsing tambahan. Hal ini membuat deteksi menjadi sulit karena cookie menyatu dengan lalu lintas web yang wajar dan mengurangi jejak yang terlihat.

Microsoft mencatat beberapa implementasi berbeda dari model eksekusi berbasis cookie ini, antara lain:

• PHP loader yang menggunakan beberapa lapisan obfuscation dan pemeriksaan runtime sebelum memproses input cookie terstruktur untuk mengeksekusi payload sekunder yang telah dienkode.
• Script PHP yang memisahkan data cookie terstruktur untuk merekonstruksi komponen operasional seperti penanganan file dan fungsi decoding, serta menulis payload sekunder ke disk secara kondisional dan mengeksekusinya.
• Script PHP yang menggunakan satu nilai cookie sebagai penanda untuk memicu tindakan yang dikontrol pelaku, termasuk eksekusi input yang diberikan dan unggahan file.

Persistensi Melalui Cron Job dan Arsitektur "Self-Healing"

Salah satu kasus yang ditemukan menunjukkan pelaku memperoleh akses awal ke lingkungan Linux korban melalui kredensial valid atau eksploitasi celah keamanan yang sudah dikenal. Mereka kemudian membuat cron job yang secara berkala menjalankan rutinitas shell untuk mengeksekusi PHP loader yang terobfuscasi.

Arsitektur self-healing ini membuat PHP loader dapat terus dibuat ulang oleh tugas terjadwal meskipun sudah dihapus melalui upaya pembersihan, sehingga menciptakan jalur eksekusi kode jarak jauh yang andal dan persisten. Setelah PHP loader terpasang, ia tetap tidak aktif selama lalu lintas normal dan baru aktif ketika menerima permintaan HTTP dengan nilai cookie tertentu.

"Dengan mengalihkan kontrol eksekusi ke cookie, web shell bisa tersembunyi dalam lalu lintas normal dan hanya aktif selama interaksi khusus yang disengaja,"

"Dengan memisahkan persistensi melalui replikasi cron dan kontrol eksekusi melalui aktivasi berbasis cookie, pelaku mengurangi kebisingan operasional dan membatasi indikator yang terlihat dalam log aplikasi rutin."

Strategi Serangan dan Rekomendasi Perlindungan

Sebuah ciri umum dari semua implementasi ini adalah penggunaan obfuscation untuk menyembunyikan fungsi sensitif dan pengendalian berbasis cookie untuk memicu aksi berbahaya, dengan jejak interaktif yang minimal.

Untuk melawan ancaman ini, Microsoft menyarankan beberapa langkah pengamanan berikut:

1. Menerapkan autentikasi multi-faktor pada panel kontrol hosting, akses SSH, dan antarmuka administrasi.
2. Memantau aktivitas login yang tidak biasa sebagai indikasi akses tidak sah.
3. Membatasi eksekusi interpreter shell di server.
4. Melakukan audit rutin terhadap cron jobs dan tugas terjadwal di seluruh server web.
5. Memeriksa pembuatan file mencurigakan di direktori web.
6. Membatasi kemampuan shell pada panel kontrol hosting.

"Penggunaan cookie secara konsisten sebagai mekanisme kontrol menunjukkan adanya pola penggunaan tradecraft web shell yang sudah mapan,"

"Dengan mengalihkan logika kontrol ke cookie, pelaku dapat mempertahankan akses setelah kompromi yang bisa menghindari banyak kontrol inspeksi dan pencatatan tradisional."

Lebih lanjut, Microsoft menegaskan bahwa pelaku tidak bergantung pada rantai eksploitasi kompleks, melainkan memanfaatkan jalur eksekusi yang sah yang sudah ada di lingkungan, termasuk proses server web, komponen panel kontrol, dan infrastruktur cron, untuk menempatkan dan mempertahankan kode berbahaya.

Analisis Redaksi

Menurut pandangan redaksi, temuan ini menunjukkan evolusi signifikan dalam cara pelaku ancaman memanfaatkan mekanisme web standar untuk menyembunyikan kehadiran dan mempertahankan kendali atas server Linux yang dikompromikan. Teknik cookie-gating yang dipadukan dengan cron job self-healing bukan hanya meningkatkan persistensi, tetapi juga mempersempit peluang deteksi melalui log konvensional yang biasanya fokus pada parameter URL atau payload permintaan.

Hal ini menandakan bahwa pengamanan tradisional yang hanya mengandalkan analisis lalu lintas HTTP biasa sudah tidak cukup. Organisasi harus menerapkan monitoring yang lebih mendalam terhadap tugas terjadwal dan kontrol akses, serta mengadopsi prinsip keamanan berlapis termasuk MFA dan pembatasan eksekusi shell. Selain itu, penting untuk meningkatkan kesadaran terhadap teknik obfuscation yang semakin canggih dan pola serangan tersembunyi.

Kedepannya, kita akan melihat semakin banyak varian web shell yang memanfaatkan mekanisme kontrol tidak biasa seperti cookie, token khusus, atau metode komunikasi tersembunyi lain untuk menghindari deteksi. Oleh karena itu, terus mengikuti perkembangan intelijen ancaman dan memperkuat prosedur audit keamanan menjadi kunci utama untuk mencegah serangan yang sulit dideteksi ini.

Untuk informasi lebih lengkap dan pembaruan seputar keamanan siber, Anda bisa mengikuti sumber asli berita ini di The Hacker News dan berita teknologi terpercaya lainnya.