Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifié lors d’une réponse à incident, et met en évidence ses fonctions de compromission avancées et ses techniques d’évasion.
L’outil, attribué à un auteur indonésien, offre des capacités complètes de post‑exploitation : navigation du système de fichiers, exécution de commandes, manipulation/édition de fichiers, modification des permissions, téléversement de fichiers, et accès/gestion de bases de données via Adminer. Les paramètres sont URL‑encodés et peu obfusqués, laissant des traces dans les journaux du serveur.
Côté furtivité, le shell implémente la suppression de la journalisation des erreurs, la manipulation du code HTTP (réponses 500), la désactivation du cache et des contournements de solutions de sécurité telles que Wordfence. Ces mécanismes visent à réduire la détection tout en maintenant les fonctionnalités d’administration illicite.
Techniquement, l’exécution de commandes tente une séquence de fonctions PHP, en cascade : proc_open, shell_exec, exec, passthru, system. Le shell accepte des paramètres GET/POST pour: dir (parcours de répertoires), edit (édition), chmod (droits), upload (téléversement), cmd (commande), et Summon (accès BD). L’accès base de données s’appuie sur Adminer 4.8.1, couvrant MySQL, PostgreSQL, SQLite, et d’autres.
Impact opérationnel: l’ensemble de ces fonctions et évasions fait de Shin un outil de post‑exploitation efficace apte à la navigation, l’exécution de commandes, la modification de permissions et l’exfiltration de contenus de base de données. Il s’agit d’une analyse technique visant à documenter ses capacités et mécanismes d’évasion.
TTPs observés:
- Evasion: suppression des logs d’erreurs, réponses HTTP 500, désactivation du cache, contournement de Wordfence
- Commandes: chaîne de fallback via proc_open → shell_exec → exec → passthru → system
- Fonctions: dir, edit, chmod, upload, cmd, Summon (GET/POST)
- Accès BD: intégration d’Adminer 4.8.1 (MySQL, PostgreSQL, SQLite, etc.)
- Opsec: paramètres URL‑encodés mais non obfusqués (traces dans logs web)
IOCs:
- Aucun IOC explicitement communiqué dans l’extrait.
Référence: https://www.truesec.com/hub/blog/she-sells-web-shells-by-the-seashore-part-ii
🧠 TTPs et IOCs détectés
TTPs
Evasion: suppression des logs d’erreurs, réponses HTTP 500, désactivation du cache, contournement de Wordfence; Commandes: chaîne de fallback via proc_open → shell_exec → exec → passthru → system; Fonctions: dir, edit, chmod, upload, cmd, Summon (GET/POST); Accès BD: intégration d’Adminer 4.8.1 (MySQL, PostgreSQL, SQLite, etc.); Opsec: paramètres URL‑encodés mais non obfusqués (traces dans logs web)
IOCs
Aucun IOC explicitement communiqué dans l’extrait.
🔗 Source originale : https://www.truesec.com/hub/blog/she-sells-web-shells-by-the-seashore-part-ii