Linux Sunucularında Gizli Tehlike: Çerez Tabanlı Web Shell'ler
Günümüz siber tehdit ortamında, saldırganlar tespit edilmemek için sürekli olarak yöntemlerini güncelliyor. Microsoft Defender Güvenlik Araştırma Ekibi tarafından yayınlanan son rapor, Linux tabanlı sunucuları hedef alan karmaşık bir saldırı vektörüne dikkat çekiyor. Artık saldırganlar, komut yürütme işlemlerini URL parametreleri veya istek gövdeleri üzerinden gerçekleştirmek yerine, HTTP çerezlerini (cookies) bir kontrol kanalı olarak kullanıyor.
Saldırı Nasıl Gerçekleşiyor?
Bu yeni nesil PHP web shell'leri, geleneksel yöntemlerin aksine oldukça gizli bir şekilde çalışıyor. Saldırganlar, sunucu üzerindeki zararlı kodu tetiklemek için özel olarak oluşturulmuş çerez değerlerini kullanıyor. Bu yöntem, geleneksel Web Uygulaması Güvenlik Duvarı (WAF) kurallarını ve basit trafik analizlerini atlatmayı kolaylaştırıyor. Temel özellikler şunlardır:
- Çerez Tabanlı Komut Denetimi: Komutlar, HTTP isteklerinin çerez alanına gizlendiği için standart loglama mekanizmalarında fark edilmesi güçleşiyor.
- Cron Job Kalıcılığı: Saldırganlar, web shell'in sürekli aktif kalmasını sağlamak için Linux sistemlerinde yerleşik olan 'cron' görevlerini kullanıyor.
- Uzaktan Kod Yürütme (RCE): Bu yöntem, saldırganlara sunucu üzerinde tam denetim sağlayarak veri sızıntılarına veya sistemin tamamen ele geçirilmesine yol açabiliyor.
BT Ekipleri İçin Kritik Tavsiyeler
Bu tür siber saldırılara karşı proaktif bir savunma stratejisi izlemek hayati önem taşır. Öncelikle, sunucularınızdaki cron görevlerini periyodik olarak denetleyin ve olağan dışı zamanlanmış görevleri inceleyin. Ayrıca, PHP dosya sistemindeki değişiklikleri izlemek için dosya bütünlüğü izleme (FIM) çözümlerini devreye alın. HTTP trafiğini derinlemesine inceleyen gelişmiş bir güvenlik çözümü kullanmak, çerez bazlı bu tür manipülasyonların tespit edilmesinde kritik bir rol oynayacaktır. Güvenliğinizi hafife almayın; yamalarınızı güncel tutun ve sunucu erişimlerini en az yetki prensibine göre kısıtlayın.
