Web Shell

Eine Web Shell gehört zu den einfachsten und zugleich gefährlichsten Werkzeugen im Arsenal eines Angreifers. Nachdem er in eine Webanwendung eingedrungen ist, legt der Angreifer ein kleines Skript in ein Verzeichnis, das der Webserver ausführt, und von diesem Moment an dient die öffentliche Website zugleich als private Befehlskonsole. Jede Anweisung reist als gewöhnlicher Web-Request, sodass der Server echten Nutzern weiter Seiten ausliefert, während er still die Befehle des Angreifers ausführt. Diese Mischung aus Persistenz und Tarnung ist der Grund, warum Web Shells in so vielen Vorfallberichten auftauchen.

Wie eine Web Shell funktioniert

Eine Web Shell ist nichts weiter als Code, den der Server bereit ist auszuführen. Zuerst braucht der Angreifer einen Weg, diesen Code auf die Festplatte zu bringen, der fast immer aus einem Exploit gegen die Anwendung oder ihren Stack stammt: ein ungeschützter Datei-Upload, eine SQL-Injection, die eine Datei schreibt, ein verwundbares Plugin oder ungepatchte Serversoftware. Sobald das Skript in einem aus dem Web erreichbaren Ordner liegt, ruft der Angreifer dessen URL auf und übergibt Befehle über Parameter, Header oder den Request-Body.

Von da an wird der Server zum Brückenkopf. Der Angreifer kann Dateien lesen, Zugangsdaten abgreifen und zu internen Systemen vorstoßen, während der Traffic wie normale Web-Aktivität aussieht. Da das Skript auf dem Server lebt und nicht in einer einzelnen Sitzung, übersteht der Zugriff Neustarts und sogar manche Bereinigungsversuche, und genau das macht ihn wertvoll.

Warum sie der MITRE-ATT&CK-Technik T1505.003 entspricht

Einen realen Einbruch auf T1505.003 abzubilden gibt Verteidigern eine gemeinsame Sprache. Ein SOC kann damit seine Erkennungen mit veröffentlichter Threat Intelligence abgleichen, Indikatoren mit anderen Organisationen abstimmen und darüber nachdenken, was der Angreifer als Nächstes tun dürfte.

Diese Technik lässt sich zudem immer leichter im großen Stil ausrollen. In den Daten von Anthropic war der Einsatz von Web Shells (T1505.003) bei den risikoreichsten KI-gestützten Akteuren 3- bis 5-mal häufiger als bei gewöhnlichen Einbrüchen, ein Muster, das wir in unserem Beitrag dazu untersuchen, wie Hacker KI nutzen. Wenn Werkzeuge den Aufwand senken, einen Brückenkopf zu bewaffnen, taucht dieser Brückenkopf weit öfter auf.

Web Shells erkennen und entfernen

Web-App ausnutzen

→hochladen

Web Shell platzieren

→zugreifen

Befehle ausführen und pivotieren

→erkennen

Jagen, eindämmen, beheben

Die Erkennung stützt sich auf mehrere Signale, die sich gegenseitig verstärken:

• Dateiintegritätsüberwachung, die neue oder veränderte Skripte in Upload- und Web-Root-Verzeichnissen markiert.
• Analyse der Webserver-Logs nach unbekannten URLs, ungewöhnlichen User-Agents oder Requests mit befehlsartigen Parametern.
• Threat Hunting nach den Verhaltensspuren, die eine Web Shell hinterlässt, sobald sie Befehle ausführt.

Die Web Shell hält sich, weil sie billig auszurollen und leise zu betreiben ist. Verteidiger gewinnen nicht, indem sie einzelnen Skripten nachjagen, sondern indem sie die Angriffsfläche verkleinern, die diese überhaupt landen lässt, und das Verhalten beobachten, das sie nicht verbergen können, sobald sie laufen.