كشف فريق أبحاث Microsoft Defender Security أن المهاجمين باتوا يستخدمون ملفات تعريف الارتباط (HTTP Cookies) كقنوات تحكم في Web Shells مكتوبة بلغة PHP على خوادم لينكس، بهدف تنفيذ أوامر عن بُعد. بدلاً من الاعتماد على معلمات الروابط أو محتوى الطلبات، يتم تمرير التعليمات عبر قيم ملفات تعريف الارتباط التي يضيفها المهاجمون، ما يمنحهم قدرة على إبقاء الشيفرة الخبيثة خاملة أثناء التشغيل الطبيعي للتطبيق، ثم تفعيلها فقط عند وجود قيم محددة. هذه التقنية تجعل النشاط الخبيث يندمج مع حركة المرور العادية، مما يقلل من فرص اكتشافه.
نماذج مختلفة للتنفيذ
أوضحت مايكروسوفت أن هناك عدة طرق لتطبيق هذا الأسلوب، منها:
- محمل PHP يستخدم طبقات متعددة من الإخفاء وفحوصات زمن التشغيل قبل تحليل بيانات ملفات تعريف الارتباط وتنفيذ حمولة مشفرة.
- برنامج نصي PHP يعيد بناء مكونات تشغيلية مثل وظائف التعامل مع الملفات وفك التشفير من بيانات ملفات تعريف الارتباط، ثم يكتب حمولة ثانوية على القرص وينفذها.
- برنامج نصي PHP يعتمد على قيمة واحدة من ملف تعريف الارتباط كعلامة لتفعيل إجراءات يسيطر عليها المهاجم، مثل تنفيذ مدخلات أو رفع ملفات.
الاستمرارية عبر مهام مجدولة
في بعض الحالات، حصل المهاجمون على وصول أولي عبر بيانات اعتماد صحيحة أو استغلال ثغرات معروفة، ثم أنشأوا مهمة مجدولة (Cron Job) تستدعي روتيناً يعيد إنشاء محمل PHP بشكل دوري. هذا التصميم “ذاتي الإصلاح” يضمن بقاء القناة الخبيثة حتى بعد محاولات التنظيف، حيث يعاد نشر المحمل تلقائياً. وبمجرد نشره، يبقى خاملاً حتى يتلقى طلبات HTTP تحتوي على قيم ملفات تعريف الارتباط المحددة.
توصيات الحماية
أوصت مايكروسوفت بعدة إجراءات للحد من هذه الهجمات، منها:
- فرض المصادقة متعددة العوامل للوصول إلى لوحات التحكم وواجهات SSH.
- مراقبة أنشطة تسجيل الدخول غير المعتادة.
- تقييد تنفيذ مفسرات الأوامر على الخوادم.
- تدقيق مهام Cron والمهام المجدولة بشكل دوري.
- فحص إنشاء الملفات المشبوهة في أدلة الويب.
- تقليل قدرات لوحات التحكم على تنفيذ الأوامر.
وأكدت الشركة أن استخدام ملفات تعريف الارتباط كآلية تحكم يعكس إعادة استخدام تقنيات معروفة في تطوير Web Shells، لكنه يمنح المهاجمين قدرة على الوصول المستمر بعد الاختراق مع تقليل مؤشرات الكشف في سجلات التطبيقات.
