Siber Saldırganların Yeni Yöntemi: Çerez Kontrollü Web Kabukları
Microsoft Defender güvenlik araştırmacıları, Linux sunucularına sızan saldırganların tespit edilmeyi zorlaştırmak için alışılmadık bir yöntem geliştirdiğini ortaya çıkardı. Siber suçlular artık geleneksel yöntemlerin aksine, PHP tabanlı web kabuklarını yönetmek için HTTP çerezlerini bir kontrol kanalı olarak kullanıyor.
Bu yeni teknikte saldırganlar, komut yürütme işlemlerini URL parametreleri veya istek gövdeleri yerine doğrudan çerez değerleri üzerinden gerçekleştiriyor. $_COOKIE süper global değişkeninden faydalanan bu yöntem, zararlı kodun normal web trafiği içinde tamamen görünmez kalmasını sağlıyor.
İz Bırakmayan Kod Yürütme Stratejisi
Saldırganlar, zararlı kodlarını normal uygulama akışı içinde uyku modunda tutarak yalnızca hedeflenen çerez değerleri gönderildiğinde aktifleşmesini sağlıyor. Bu sayede web kabuğu, standart güvenlik taramaları veya günlük incelemeleri sırasında herhangi bir şüphe uyandırmadan faaliyetlerini sürdürebiliyor.
Kullanılan PHP yükleyiciler, farklı katmanlarda karmaşık gizleme teknikleri içeriyor. Bu araçlar, çerez verilerini parçalayarak ikincil bir zararlı yükü bellekte veya disk üzerinde yeniden oluşturabiliyor, ardından bu yükü çalıştırarak sunucu üzerindeki kontrolü ele geçiriyor.
Cron İşleri ile Kendi Kendini Onaran Yapı
Saldırı zincirinin en dikkat çekici noktalarından biri, sistemin cron zamanlanmış görevlerini kullanarak kalıcılığını korumasıdır. Sunucu yöneticileri zararlı dosyaları temizlese bile, sistemdeki zamanlanmış görevler belirli aralıklarla tetiklenerek silinen PHP yükleyicisini yeniden oluşturuyor.
Bu "kendi kendini onaran" mimari, saldırganların sunucu üzerinde sürekli bir erişim kanalı tutmasını kolaylaştırıyor. Microsoft, bu yöntemin geleneksel günlükleme ve izleme kontrollerini büyük ölçüde devre dışı bıraktığına dikkat çekiyor.
Kurumsal Sunucularda Güvenlik Nasıl Sağlanır
Uzmanlar, bu tür gelişmiş tehditlere karşı korunmak için yalnızca yazılımsal değil, yapısal önlemlerin de şart olduğunu vurguluyor. Öncelikle barındırma kontrol panelleri, SSH erişimi ve tüm yönetim arayüzleri için çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmelidir.
Ayrıca web sunucularındaki cron görevlerinin düzenli olarak denetlenmesi ve web dizinlerinde şüpheli dosya oluşturulup oluşturulmadığının kontrol edilmesi kritik önem taşıyor. Shell yorumlayıcılarının yetkilerinin kısıtlanması, saldırganların sunucu üzerindeki hareket alanını daraltmak için atılabilecek en etkili adımlardan biri olarak görülüyor.
Çerez Tabanlı Kontrol Mekanizması Geleneksel Güvenlik Duvarlarını Neden Aşabiliyor?
Saldırganların komut ve kontrol trafiğini standart çerez değerlerinin içine gizlemesi, modern güvenlik sistemlerinin "normal trafik" ile "zararlı trafik" arasındaki ayrımı yapmasını imkansız hale getiriyor. Karmaşık exploit zincirleri yerine, zaten sunucunun kendi işletimsel süreçleri olan cron ve web süreci yollarını kullanan bu strateji, tespit edilebilir göstergeleri minimuma indirerek geleneksel güvenlik protokollerinin kör noktasından sızmayı başarıyor.