В июне 2025 года в ходе реагирования на инцидент специалисты KS Threat Research обнаружили целенаправленную атаку на публично доступное приложение ASP.NET, где злоумышленники использовали известные уязвимости десериализации __VIEWSTATE для достижения удаленного выполнения кода. Атака началась с компрометации MachineKey - секретных криптографических ключей, используемых ASP.NET для защиты данных сессии. Получив доступ к ValidationKey и DecryptionKey, злоумышленники смогли подписывать и шифровать вредоносные VIEWSTATE-объекты, которые сервер доверчиво десериализовал, что привело к полному контролю над системой. Этот метод, детально описанный Microsoft еще в феврале 2025 года, остается эффективным из-за повсеместных ошибок конфигурации в корпоративных средах.
Описание
После первоначального доступа атакующие развернули многоуровневую инфраструктуру для пост-эксплуатации. Ключевым элементом стала webshell Godzilla, загружаемая непосредственно в память процесса w3wp.exe без записи на диск, что значительно затрудняет обнаружение. Она использовалась как платформа для выполнения произвольных команд, обхода систем защиты и скрытой коммуникации. Анализ показал, что Godzilla применяла сложную технику обхода AMSI через аппаратные точки останова: при вызове функции AmsiScanBuffer в amsi.dll срабатывал обработчик исключений, модифицировавший контекст процессора для пропуска сканирования вредоносного кода. Это позволило беспрепятственно запускать инструменты вроде Cobalt Strike, попытки загрузки которого фиксировались антивирусом, но не блокировались полностью из-за изощренного механизма маскировки.
Операционная деятельность злоумышленников сопровождалась грубыми ошибками OPSEC. В журналах событий сохранились команды с опечатками вроде "gorup" вместо "group" и упоминание китайскоязычного ресурса "teamssix", что указывает на возможное происхождение группы из Китая. Хотя мотивация атаки осталась неясной, цель - медицинский сектор - соответствует трендам, описанным в ноябре 2024 года в аналитике HC3. Атакующие пытались перечислить файлы на сетевых ресурсах, скачать конфиденциальные данные, а также провести эскалацию привилегий через инструмент Juicy Potato, который должен был предоставить права SYSTEM. Однако встроенный AMSI перехватил подозрительную активность, заблокировав выполнение.
Важным аспектом инцидента стала роль артефактов .NET в расследовании. При обращении к webshell ASP.NET динамически компилирует .aspx-файлы в DLL, сохраняя их во временных каталогах вроде C:\Windows\Microsoft.NET\Framework64\...\Temporary ASP.NET Files. Эти библиотеки стали ключевым доказательством: даже после удаления исходного webshell их реверс-инжиниринг позволил восстановить функционал и методы работы злоумышленников. В одном из таких DLL обнаружилась ссылка на путь C:\Users\hbada\Desktop\ActivitySurrogateSelector\LoadLibrary\obj\Debug\LoadLibrary.pdb, прямо указывающая на использование гаджета ActivitySurrogateSelector - известной техники эксплуатации десериализации в .NET.
Несмотря на частичный успех атакующих, атака была пресечена благодаря анализу журналов приложений. Событие с ID 1316 и кодом 4009 зафиксировало попытки инъекции в __VIEWSTATE, а последующая сверка MachineKey с публичными базами подтвердила использование скомпрометированных ключей. Это подчеркивает критическую важность мониторинга системных событий и регулярного аудита конфигураций. Попытки латерального перемещения через RDP провалились из-за неверных учетных данных, что ограничило ущерб, но инцидент выявил системные проблемы безопасности.
Эксперты KS Threat Research выделяют два ключевых урока.
- Во-первых, организациям необходим непрерывный мониторинг внешней атакуемой поверхности. Инструменты EASM позволяют автоматически выявлять уязвимые точки вроде публичных ASP.NET-приложений со стандартными MachineKey до их эксплуатации злоумышленниками.
- Во-вторых, игнорирование предупреждений вендоров недопустимо. Microsoft еще в феврале публиковала рекомендации по защите от подобных атак, включая ротацию ключей и отключение __VIEWSTATE при отсутствии необходимости. Их реализация предотвратила бы инцидент. Медицинские организации особенно уязвимы из-за ценности данных пациентов и должны приоритизировать исправление известных уязвимости в рамках модели Zero Trust.
С технической точки зрения, атака демонстрирует живучесть старых уязвимостей. Эксплуатация __VIEWSTATE известна более десяти лет, но сохраняет эффективность из-за непонимания рисков десериализации. Пара ValidationKey/DecryptionKey в MachineKey - это цифровой эквивалент ключей от королевства: их компрометация позволяет подписывать любой объект, включая вредоносные цепочки гаджетов, выполняющие код при десериализации. В данном случае гаджет ActivitySurrogateSelector использовался для загрузки неконтролируемых .NET-сборок прямо в память IIS-процесса. Для защиты требуется не только ротация ключей, но и внедрение строгой валидации входящих данных, сигнатурный анализ __VIEWSTATE и применение SecurityToken для дополнительной аутентификации сессий.
Современные киберугрозы требуют многослойной защиты. Антивирусная блокировка Juicy Potato и Cobalt Strike в этом инциденте сыграла положительную роль, но не остановила начальную эксплуатацию. Необходимо сочетание WAF с сигнатурами для __VIEWSTATE, runtime-защиты приложений, контролирующей поведение .NET-процессов, и EDR-решений, отслеживающих аномалии в работе w3wp.exe. Особое внимание стоит уделить детектированию in-memory-атак: Godzilla и аналогичные webshell обходят традиционные файловые сканеры, требуя поведенческого анализа и мониторинга загрузки сборок. Регулярное обучение разработчиков безопасной работе с сериализацией и конфигурации IIS также снизит риски.
Этот случай завершился без масштабного ущерба благодаря оперативному обнаружению, но служит тревожным сигналом для всей индустрии. Киберпреступники целенаправленно атакуют устаревшие конфигурации, а сектор здравоохранения остается в фокусе из-за высокой отдачи от компрометации данных. Только проактивный подход, включающий threat intelligence, автоматизированный аудит и культуру безопасности, может предотвратить подобные атаки в будущем. Игнорирование базовых мер, вроде замены стандартных MachineKey, эквивалентно открытию дверей перед злоумышленниками в эпоху, когда методы их работы хорошо документированы и предсказуемы.
Индикаторы компрометации
URLs
- http://www.shellapi.cc
.NET Assemblies Loaded
- ExecuteAssembly, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- FileDelete, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- FileDownload, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- FileList, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- FileUpload, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- Information, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- LoadLibrary, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- ProcessList, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
- RemoteExec, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
Path
- C:\Users\hbada\Desktop\ActivitySurrogateSelector\LoadLibrary\obj\Debug\LoadLibrary.pdb
