Bu ileri seviye web shell'ler, bir araçtan çok, hedefe özel olarak tasarlanmış birer cerrahi implant gibidir. Amaçları "sunucuda whoami komutunu çalıştırmak" değil, aylarca, hatta yıllarca fark edilmeden orada kalmak, veri sızdırmak ve ağ içinde yatay olarak hareket etmek için bir köprübaşı görevi görmektir. İşte bu "hayalet" shell'lerin nasıl çalıştığı ve klasik güvenlik sistemlerini nasıl bypass ettiği:
Public shell'ler bir eve levyeyle giren hırsız gibidir; kapıyı kırar, her yeri dağıtır ve gider. APT shell'leri ise evin bir parçası gibi davranan, duvarların içindeki bir hayalet gibidir. Onu yakalamak için duvarın kendisini dinlemeniz gerekir.
1. Bellek Düzeyinde (In-Memory/Fileless) Çalışma Prensibi
Bu, sorduğun en kritik nokta. Klasik bir shell, sunucuya shell.php gibi bir dosya olarak yüklenir. Antivirüsler (AV) ve dosya bütünlüğü izleme sistemleri diski periyodik olarak tarar ve bu dosyanın imzasını (hash) veya içindeki "eval(", "system(" gibi tehlikeli fonksiyonları tespit edip alarm verir.
Bellek düzeyinde çalışan bir shell ise bu oyunu oynamaz. Diske neredeyse hiçbir şey yazmaz.
Nasıl Çalışır?
İlk Giriş (Stager): Saldırgan, genellikle Log4j, RCE (Uzaktan Kod Çalıştırma) gibi bir zafiyeti kullanarak sunucuya sadece birkaç satırlık, masum görünen bir kod parçası enjekte eder. Bu koda "stager" veya "dropper" denir. Bu kodun tek görevi, asıl zararlı yükü (payload) belleğe çekmektir.
Yükün Belleğe Alınması: Bu stager, asıl web shell kodunu ya internet üzerindeki bir sunucudan çeker ya da kendi içindeki şifrelenmiş bir metinden çözerek alır.
Doğrudan Yürütme: Gelen bu kod, diske asla kaydedilmez. Doğrudan web sunucusunun (Apache, Nginx, IIS) veya uygulama dilinin (PHP, Java, .NET) çalışan sürecinin (process) bellek alanına yüklenir ve orada çalıştırılır. Örneğin PHP'de bu eval() ile, .NET'te ise Assembly.Load() ile bir DLL'i doğrudan bellekten yükleyerek yapılır.
Sonuç: Ortada taranacak bir dosya yoktur. AV'nin veya WAF'ın imza tabanlı kontrol edeceği bir "şey" diskte bulunmaz. Shell, sadece web sunucusu sürecinin bir parçası olarak bellekte yaşar. Sunucu yeniden başlatılana kadar da orada kalır (ki APT'ler bunun için de kalıcılık yöntemleri geliştirir).
2. Tespit Edilmesi Neden Neredeyse İmkansız?
İmza Tabanlı Tespitin Çöküşü: WAF'lar ve AV'ler, bilinen saldırı kalıplarını ve imzaları arar. APT shell'leri hedefe özel yazıldığı için daha önce hiçbir veritabanında görülmemiş, benzersiz bir imzaya sahiptir. Ayrıca, sürekli değişen şifreleme (polymorphism) teknikleri kullanırlar. Her istekte kodun yapısı değiştiği için bir imza oluşturmak imkansız hale gelir.
Gizlenmiş İletişim (Covert C2): Public shell'ler komutları POST isteğinde cmd=ls -la gibi bariz bir parametreyle alır. APT shell'leri ise komut ve kontrol (C2) iletişimini normal web trafiğinin içine gizler.
HTTP Header'ları: Komutlar, User-Agent, Cookie veya Accept-Language gibi sıradan görünen HTTP başlıklarının içine gizlenebilir.
URL Parametreleri: index.php?page_id=123 gibi normal bir isteğin 123 kısmının şifrelenmiş bir komut olması gibi.
Stratejik Gürültü: Shell'den dönen cevap, bir resim dosyasının pikselleri arasına (steganografi), sahte bir 404 hata sayfasının içine veya bir JSON yanıtının önemsiz bir alanına gizlenebilir. WAF, normal bir web trafiği gördüğünü sanır.
"Living Off the Land" (Ortamdaki Araçları Kullanma): Bu shell'ler, sisteme yeni ve şüpheli araçlar (netcat, nmap vb.) yüklemek yerine, işletim sisteminin kendi meşru araçlarını (powershell, bash, curl, wmic) kullanır. Bu, davranışsal analizi zorlaştırır çünkü bir web sunucusunun powershell çalıştırması anormal olsa da, bu eylemin kendisi "kötücül" olarak etiketlenemez.
Peki Bu Hayaletler Nasıl Yakalanır?
Klasik yöntemler yetersiz kaldığı için çok daha gelişmiş teknikler gerekir:
Davranışsal Analiz ve EDR (Endpoint Detection and Response): Bu sistemler "ne olduğu" ile değil, "ne yaptığı" ile ilgilenir. Bir web sunucusu sürecinin (w3wp.exe veya httpd) normalde yapmayacağı bir şeyi yapması (örneğin, bir komut satırı (cmd.exe) başlatması, beklenmedik bir dış IP'ye sürekli veri göndermesi) en büyük alarmdır. EDR, bu anormal süreç davranışlarını yakalar.
Bellek Analizi (Memory Forensics): Sunucunun RAM imajı (memory dump) alınır ve özel araçlarla incelenir. Bu, diskte olmayan o hayalet shell'in kodunu bellekte bulmanın en kesin yollarından biridir.
Ağ Trafiği Analizi (NTA): Şifrelenmiş olsa bile, C2 sunucusuyla yapılan periyodik "kalp atışı" (beaconing) bağlantıları, veri paketlerinin boyutu ve zamanlamasındaki anormallikler, gelişmiş ağ izleme sistemleri tarafından tespit edilebilir.
Özetle: İleri seviye bir web shell, diskte iz bırakmayan, iletişimini normal trafik gibi gösteren, sürekli kılık değiştiren ve sistemin kendi araçlarını kullanan bir dijital casustur. Onu klasik bir WAF veya antivirüs ile yakalamaya çalışmak, bir hayaleti metal dedektörüyle aramaya benzer. Onu yakalamak için davranışlarını izleyen ve anormallikleri tespit eden çok daha akıllı sistemlere ihtiyaç vardır.
