PHP WEBSHELL マルウェア
PLURA
WEBSHELLとは?
ウェブサーバーのアップロード脆弱性を利用してシステムにコマンドを送信できるコードのことを指します。
簡単なサーバースクリプト(JSP, PHP, ASP …)で作成する方法が広く利用されています¹⁾
Microsoftの検出および対応チームによると、Webshell攻撃は2020年に比べ2021年に2倍増加しており、世界的に継続的な脅威となっている攻撃です²⁾
次のスクリーンショットは最近PLURAで検出されたマルウェアです。
| [画像 1] WEBSHELL>FILE EXECUTION - 危険性の高い関数呼び出しの検出 |
このマルウェアはGETメソッドでPHPコードを送信しようとし、主要データはbase64でエンコードされました。
デコードした結果、http://.../rookie.php ファイルを ./data/.../xmm.php にコピーして出力することがわかりました。
仮想環境でこのマルウェアをテスト実行
[画像 2] test.php コード |
[画像 3] test.php 接続 |
| [画像 4] 外部IPアドレスでのアウトバウンド行為 |
| [画像 5] test2.php コード |
外部の rookie.php ファイルを内部に test2.php としてコピー |
| [画像 6] test2.php 接続 |
| [画像 7] test2.php Webshell 実行 |
幸い、発見された企業ではこのコードは実行されませんでした。
しかし、もしこのような脆弱性が存在してWebshellのようなファイルがダウンロード・アップロードされ、実行されてしまうと、攻撃者は非常に簡単にシステムを掌握することができます。
PLURAはWebshell攻撃の種類を分析し、自動で検出し、ブロックしています。
参照
動画
- Webshell ハッキングデモ : https://youtu.be/BszuH4SoZUg?si=mdAoMVVcNuRxSUtZ