Введение в веб-оболочки - часть 1

  1. Постоянный удаленный доступ
  2. Повышение привилегий
  3. Поворот и запуск атак
  4. Живой мертвец
  5. Часть 3

Веб-оболочка - это вредоносный скрипт, используемый злоумышленником с целью расширения и поддержания постоянного доступа к уже скомпрометированному веб-приложению

Веб-оболочка - это вредоносный скрипт, используемый злоумышленником с целью расширения и поддержания постоянного доступа к уже скомпрометированному веб-приложению. Сама веб-оболочка не может атаковать или использовать удаленную уязвимость, поэтому она всегда является вторым этапом атаки (этот этап также называется пост-эксплуатацией).

Злоумышленник может воспользоваться общими уязвимостями, такими как SQL-инъекция , удаленное включение файлов (RFI), FTP или даже использование межсайтовый скриптинг (XSS) как часть атаки социальной инженерии, чтобы загрузить вредоносный скрипт. Общая функциональность включает, но не ограничивается, выполнение команд оболочки, выполнение кода, перечисление базы данных и управление файлами.

Постоянный удаленный доступ

Веб-оболочка обычно содержит бэкдор, который позволяет злоумышленнику получить удаленный доступ и, возможно, контролировать сервер в любое время. Это избавит злоумышленника от необходимости использовать уязвимость каждый раз, когда требуется доступ к скомпрометированному серверу.

Злоумышленник может также решить исправить уязвимость самостоятельно, чтобы никто другой не воспользовался этой уязвимостью. Таким образом, злоумышленник может вести себя сдержанно и избегать любого взаимодействия с администратором, в то же время получая тот же результат.

Также стоит упомянуть, что несколько популярных веб-оболочек используют аутентификацию по паролю и другие методы, чтобы гарантировать, что только злоумышленник, загружающий веб-оболочку, имеет доступ к ней. Такие методы включают в себя привязку сценария к определенному настраиваемому заголовку HTTP, определенным значениям cookie, конкретным IP-адресам или комбинации этих методов. Большинство веб-оболочек также содержат код, позволяющий идентифицировать и блокировать поисковые системы от перечисления оболочки и, как следствие, внесения в черный список домена или сервера, на котором размещено веб-приложение, - иными словами, скрытность - это ключ.

Повышение привилегий

Если сервер не настроен неправильно, веб-оболочка будет работать с правами пользователя веб-сервера, которые (или, по крайней мере, должны быть) ограничены. Используя веб-оболочку, злоумышленник может попытаться выполнить атаки на повышение привилегий, используя локальные уязвимости в системе для получения привилегий root, которые в Linux и других операционных системах на основе UNIX являются «суперпользователями».

Имея доступ к учетной записи root, злоумышленник может делать в системе все, что угодно, включая установку программного обеспечения, изменение разрешений, добавление и удаление пользователей, кражу паролей, чтение электронной почты и многое другое.

Поворот и запуск атак

Веб-оболочку можно использовать для поворота внутри или вне сети. Злоумышленник может захотеть отслеживать (анализировать) сетевой трафик в системе, сканировать внутреннюю сеть, чтобы обнаружить живые хосты, и перечислить межсетевые экраны и маршрутизаторы в сети.

Этот процесс может занимать дни, даже месяцы, главным образом потому, что злоумышленник обычно старается быть сдержанным и привлечь как можно меньше внимания. Когда у злоумышленника есть постоянный доступ, он может терпеливо делать свои шаги.

Скомпрометированная система может также использоваться для атаки или сканирования целей, находящихся за пределами сети. Это добавляет дополнительный уровень «анонимности» для злоумышленника, поскольку он использует стороннюю систему для запуска атаки. Следующим шагом будет прохождение (туннель) через несколько систем, чтобы почти невозможно было отследить атаку к ее источнику.

Живой мертвец

Еще одно использование веб-оболочек - сделать серверы частью ботнета. Ботнет - это сеть скомпрометированных систем, которые злоумышленник может контролировать либо для использования самих себя, либо для сдачи в аренду другим преступникам. Веб-оболочка или бэкдор подключены к серверу управления и контроля (C & C), с которого он может принимать команды о том, какие инструкции выполнять.

Эта настройка обычно используется при атаках с распределенным отказом в обслуживании (DDoS), которые требуют значительных объемов пропускной способности. В этом случае злоумышленник не заинтересован в нанесении ущерба или краже чего-либо вне системы, на которой была развернута веб-оболочка. Вместо этого они будут просто использовать его ресурсы всякий раз, когда это необходимо.

Часть 3

Хранение паутины под прикрытием