Эксплуатация уязвимостей IIS и ASP.NET группой TGR-CRI-0045
Источник: unit42.paloaltonetworks.com
Новая угроза в киберпространстве: группа TGR-CRI-0045 использует уязвимости в IIS и ASP.NET для скрытого доступа
Эксперты по кибербезопасности выявили опасную активность группы, обозначенной как TGR-CRI-0045. Эта группа стала одним из ключевых посредников доступа, эксплуатирующих уязвимости в IIS и ASP.NET приложениях с целью несанкционированного проникновения и обхода защиты, связанной с машинными ключами. Данное направление атаки представляет серьёзную угрозу, учитывая способность злоумышленников выполнять вредоносный код непосредственно в памяти сервера без оставления заметных следов.
Механизм эксплуатации и роль машинных ключей
Машинные ключи играют важнейшую роль в процессе десериализации данных о состоянии просмотра (ViewState) в приложениях ASP.NET. Уязвимость группы TGR-CRI-0045 основана на использовании именно этих ключей для изменения десериализуемых параметров состояния. Параметры ViewState встроены в HTTP-запросы и могут быть модифицированы злоумышленником, если он обладает правильным машинным ключом.
Для облегчения эксплуатации атакующие активно применяют такие инструменты, как ysoserial.net, который генерирует специализированные вредоносные нагрузки для обхода стандартных средств защиты. Это достигается созданием действительных криптографических подписей, позволяющих выполнить произвольный код в контексте рабочего процесса IIS сервера, что значительно повышает эффективность атаки.
Особенности тактики и инфраструктуры TGR-CRI-0045
Деятельность TGR-CRI-0045 характеризуется несколькими важными особенностями:
- Методы выполнения команд: группа активно использует вызов
cmd.exeчерезcmd /cдля выполнения различных команд и передачи файлов, включая потенциально вредоносные исполняемые файлы. - Инструмент TxPortMap: применяется для обнаружения активных сетевых сервисов в скомпрометированных внутренних сетях, что помогает определить новые цели для проникновения.
- Использование вредоносных бинарников: в атаках фигурируют файлы, такие как
updf.exeи двоичный ELF-файлatm. Первый реализует эксплойт GodPotato для повышения привилегий до системного уровня, выдавая себя за привилегированную службу, тогда какatmиспользуется для выполнения команд в Linux-среде при боковом перемещении внутри сети.
Важно отметить, что, несмотря на отсутствие использования традиционных веб-эксплойтов, TGR-CRI-0045 сохраняет лёгкий, конъюнктурный подход, опираясь на специфические уязвимости IIS и ASP.NET. Это усиливает вероятность успешного масштабного использования их инструментов в различных секторах, включая финансовый и технологический, на территориях Европы и США.
Рекомендации по защите и мониторингу
Согласно анализу, организациям настоятельно рекомендуется принять рекомендации Microsoft по выявлению и устранению случаев несанкционированного доступа к машинным ключам. Особое внимание необходимо уделять следующим мерам:
- Повышение уровня безопасности путём усовершенствования ведения журналов (логирования) и мониторинга событий в ASP.NET, в частности для отслеживания сбоев десериализации.
- Внедрение комплексных систем обнаружения аномалий, способных выявить атаки, которые не оставляют явных признаков взлома.
- Проактивное тестирование и обновление инфраструктуры для предотвращения использования уязвимостей ViewState и машинных ключей.
Современные методы, применяемые TGR-CRI-0045, требуют повышенного внимания и своевременных мер для защиты серверов и корпоративной инфраструктуры от скрытых и сложных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
