« Tüm yayınlar

WP-SHELLSTORM: Webshell Erişim Aracılığı Açığa Çıktı

Webshell erişim aracılığı, 1.4M sitenin tarandığını ortaya koydu. CVE'ler ve teknik detaylar hakkında bilgi edinin.

SOCRadar tarafından yayınlanan teknik analiz, bir webshell erişim aracılığının 22 gün boyunca açık kalan bir dizin bıraktığını ortaya koydu. Araştırmacılar, exploit scriptleri, obfuscate edilmiş webshell'ler ve 1.4 milyon alan hedef listesini elde etti. Farklı metodolojilerle, doğrulanan saldırı sayıları değişiklik gösteriyor; Ctrl-Alt-Intel yaklaşık 25,195 doğrulanmış saldırı, SOCRadar ise 5,700'den fazla canlı webshell kaydetti.

Ana webshell olan down.php, dört kat obfuscation ile korunmakta ve açık kaynaklı BestShell projesinden türetilmiştir. Ayrıca, bu operasyonun sürdürülebilirliği için, gerçek kernel thread'leriyle karışmaması için [kworker/0:2] olarak gizlenmiş bir VShell dropper kullanılmıştır. Bu durum, IOC avlarında .brq-*.php veya .wp-log.php adlandırma kalıpları görenlerin dikkatini çekebilir.