图片来源:Shutterstock
威胁行为者正利用暴露的加密密钥来操纵身份验证令牌、解密受保护信息,并将有害代码插入易受攻击的 Web 服务器,这使得黑客有可能获取未经授权的控制权并确保长期访问权限。
微软的威胁情报团队观察到,自 2024 年 12 月起,有不明威胁行为者利用公开可用的静态ASP.NET机器密钥注入恶意代码。攻击者利用这一弱点部署了 “哥斯拉” 后渗透框架,这有可能实现对目标系统的持续访问并进一步造成破坏。
微软报告称,已发现超 3000 个公开披露的密钥可能被用于攻击,这类攻击被称为 ViewState 代码注入攻击。
以往的攻击依赖于在地下论坛交易的被盗或泄露的密钥。微软警告称,公开披露的密钥可能构成更大风险,因为它们在各种代码库中广泛可得,且可能未经任何修改就直接被整合到开发项目中。
2024 年 12 月,微软检测到一名未知威胁行为者注入恶意 ViewState 有效载荷,从而反射加载 “哥斯拉”,使黑客能够执行命令、注入壳代码并进行其他后渗透活动。
ViewState 是ASP.NET Web Forms 中的一项功能,用于在用户交互过程中保持网页状态。它依赖机器密钥(验证密钥和解密密钥)来防止篡改和数据泄露。如果攻击者获取这些密钥,就能构造恶意 ViewState 数据并发送到目标 Web 应用程序。当数据被处理时,注入的代码会在 Web 服务器上执行,让攻击者获得对系统的控制权。
微软建议开发人员避免使用从公开来源复制的机器密钥,并定期轮换密钥以降低风险。该公司还从其文档中移除了密钥示例,并为安全团队提供了一个脚本,用于识别和替换其环境中公开披露的密钥。
微软端点防护(Microsoft Defender for Endpoint)也针对公开暴露的ASP.NET机器密钥设置了警报,不过该警报本身并不表明存在正在进行的攻击。运行ASP.NET应用程序的组织,尤其是部署在 Web 场中的组织,强烈建议用存储在系统注册表中的自动生成值替换固定的机器密钥。
如果面向 Web 的服务器已遭到入侵,仅轮换机器密钥可能无法消除持续存在的威胁。微软建议进行全面的取证调查,以检测潜在的后门或未经授权的接入点。
报告称,在高风险情况下,安全团队应考虑重新格式化并重新安装受影响的系统,以防止进一步的攻击利用。
各组织还应实施最佳实践,例如加密敏感配置文件、遵循安全的 DevOps 流程,以及将应用程序升级到ASP.NET 4.8。微软建议启用反恶意软件扫描接口功能和攻击面缩减规则,以阻止在 Windows 服务器上创建网页木马。
发表评论
您还未登录,请先登录。
登录