Dans les scénarios de post-exploitation, les attaquants s'appuient généralement sur trois grandes catégories de mécanismes d'accès à distance : les shells de liaison, les shells inversés et les webshells. Pour mieux comprendre la complexité de l'environnement webshell moderne, poursuivez votre lecture.
Détectez les menaces de webshell avant qu'elles n'atteignent votre infrastructure.
Flare surveille en permanence les forums du dark web, les chaînes Telegram et les marchés clandestins afin de détecter les premiers signes de nouveaux outils webshell, de ventes d'accès compromis et de nouveaux frameworks d'attaque.
Comprendre les portes dérobées à distance : mécanismes d’accès et compromis
Coquilles de liaison
Le modèle le plus simple est celui d'un shell de liaison. Après avoir compromis un système, l'attaquant ouvre (liaison) un port réseau sur la machine de la victime et y attache un shell. Il se connecte ensuite directement à ce port pour exécuter des commandes de manière interactive.
Bien que simples à mettre en œuvre, les attaques par liaison de fichiers sont bruyantes et fragiles. Elles exigent que la victime expose un service d'écoute entrant, souvent bloqué par les pare-feu ou facilement détectable par les outils de surveillance réseau.
Coquilles inversées
Un shell inversé inverse ce modèle. Au lieu que l'attaquant se connecte, le système compromis initie une connexion sortante vers l'attaquant et redirige ses entrées/sorties vers un shell.
Cette approche est bien plus courante dans les attaques réelles, car les connexions sortantes sont généralement autorisées par les pare-feu d'entreprise et les dispositifs NAT. Les shells inversés permettent également aux attaquants d'opérer depuis une infrastructure dynamique telle que des instances cloud, des VPN ou Tor.
Les shells bind et reverse sont tous deux fondamentalement des shells de couche transport : ils fonctionnent au niveau du système d'exploitation et permettent l'exécution de commandes brutes sur un canal TCP/UDP.
Webshells
Les webshells diffèrent conceptuellement et architecturalement. Plutôt que de créer un nouveau service réseau ou un canal au niveau socket, un webshell est intégré au sein d'une application web existante (par exemple, PHP, JSP, ASPX).
L'attaquant communique avec elle via des protocoles d'application standard tels que HTTP ou WebSocket, souvent en utilisant des charges utiles chiffrées ou obfusquées qui se fondent dans le trafic web normal.
Cela rend les webshells nettement plus furtifs et persistants :
- Ils survivent aux redémarrages
- Ils opèrent via des ports légitimes (80/443)
- Ils s'intègrent à la logique applicative réelle
- Ils peuvent être gérés via des manettes spécialisées telles que Behinder, Godzilla ou AntSword.
En résumé : les shells bind et reverse permettent d’accéder à des terminaux distants. Les webshells sont des implants de la couche application conçus pour s’infiltrer dans l’infrastructure de production de la victime.
