Опубликованные ключи ASP.NET используются для развертывания вредоносов

Опубликованные ключи ASP.NET используются для развертывания вредоносов

Опубликованные ключи ASP.NET используются для развертывания вредоносов

В конце прошлого года специалисты Microsoft зафиксировали серию атак инъекцией кода, проведенных с использованием статических ключей ASP. NET. В одном из случаев злоумышленникам удалось внедрить в IIS-сервер инструмент постэксплуатации Godzilla.

Примечательно, что validationKey и decryptionKey, предназначенные для защиты данных ViewState от подмены и утечки, не были украдены или куплены в даркнете. Их можно найти онлайн, исследователи обнаружили более 3 тыс. таких сливов.

Обычно ключи ASP. NET генерируются по месту и сохраняются в реестре либо задаются вручную в конфигурационных файлах. К сожалению, некоторые разработчики веб-приложений используют готовые, отыскав их в паблике (документация на код, репозитории), притом без изменений.

Злоумышленникам такие находки тоже облегчают жизнь. При наличии верительных грамот для ViewState отправленный на сайт вредоносный POST-запрос будет с успехом обработан, пейлоад загрузится в память рабочего процесса и запустится на исполнение.

Подобная тактика позволяет автору атаки удаленно выполнить вредоносный код на сервере IIS и развернуть дополнительную полезную нагрузку — к примеру, фреймворк Godzilla с плагинами.

 

«Человеческий фактор нередко приводит к печальным результатам, разработчикам следует понимать, что статические ключи должны быть уникальными и защищёнными, — комментирует эксперт компании «Газинформсервис» Михаил Спицын. — Размещение таких данных в открытых репозиториях или документах эквивалентно предоставлению злоумышленникам несанкционированного доступа к системе».

Похожие атаки были проведены лет пять назад на серверы Microsoft Exchange. Злоумышленники пытались использовать ошибку разработчика, которую тот устранил двумя неделями ранее: все экземпляры Exchange Server использовали одни и те же значения validationKey и decryptionKey, прописанные в web.config.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Москве впервые будут судить за массовую скупку симок для мошенников

В Москве заведено первое уголовное дело по признакам преступления, предусмотренного ст. 274.4 УК РФ. Подозреваемый уже задержан, полиция пытается установить все эпизоды противоправной деятельности и личности соучастников.

Новая статья УК, криминализирующая оформление и передачу абонентских номеров третьим лицам из корыстных побуждений либо с целью оказания помощи преступникам, вступила в силу 1 сентября текущего года. Самое суровое наказание по ней — до трех лет лишения свободы.

Согласно материалам дела, задержанный житель Химок решил подзаработать и с подачи своего знакомого начал посещать офисы операторов связи, заключая договоры на оказание услуг по поддельным доверенностям различных организаций.

Следуя инструкциям, молодой человек передавал полученные абонентские номера в управление третьим лицам. За каждую успешную покупку симки ему обещали заплатить 9 тыс. рублей.

При обыске полиция изъяла у задержанного смартфоны, сим-карты, документы и другие предметы, имеющие доказательственное значение.

Выступая в Душанбе на 35-м заседании Координационного совета генеральных прокуроров СНГ, генпрокурор РФ Александр Гуцан отметил успехи борьбы с незаконным использованием сим-боксов и виртуальных АТС в стране (криминализировано в апреле 2025 года), а также с массовой скупкой симок для нужд мошеннических кол-центров.

В результате проверок, проведенных российской правоохраной, было изъято более 2 тыс. сим-боксов и свыше 500 тыс. сим-карт, с помощью которых совершалось до 20 млн мошеннических атак в сутки. Выявлено 56 подозреваемых, которым суммарно удалось оформить более 1 млн абонентских номеров.

Поскольку киберугрозы имеют комплексный характер, противостояние возможно лишь при объединении усилий различных ведомств. Генпрокуратура РФ, Росфинмониторинг, МВД и Банк России с этой целью создали и регулярно пополняют единую базу цифровых следов преступлений.

На настоящий момент в этой базе содержится более 6 млн номеров телефона, банковских реквизитов и веб-ресурсов, засветившихся в кибератаках. Подобный задел позволяет оперативно пресекать ковровые обзвоны и рассылки, выявлять мошеннические кол-центры, замораживать доходы, полученные неправедным путем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru