攻击活动概况
被称为黄金旋律(Gold Melody)的初始访问代理(IAB,Initial Access Broker)组织近期发起了一项攻击活动,通过利用泄露的ASP.NET机器密钥获取企业系统的未授权访问权限,并将这些访问权限转售给其他威胁行为者。
Palo Alto Networks旗下Unit 42研究团队将该活动追踪编号为TGR-CRI-0045("TGR"代表"临时组织","CRI"表示犯罪动机)。该黑客组织也被称为Prophet Spider和UNC961,其部分工具曾被另一个名为ToyMaker的初始访问代理使用。
研究人员Tom Marsden和Chema Garcia指出:"该组织似乎采取机会主义攻击策略,但已针对欧美多个行业发起攻击,包括金融服务、制造业、批发零售、高科技以及交通运输和物流行业。"
技术手段分析
微软在2025年2月首次公开记录了ASP.NET机器密钥被滥用的案例,当时发现超过3000个公开暴露的密钥可能被武器化用于ViewState代码注入攻击,最终导致任意代码执行。Windows制造商最早在2024年12月检测到这类攻击迹象,当时有未知攻击者利用公开可获取的静态ASP.NET机器密钥注入恶意代码,部署了Godzilla后渗透框架。
Unit 42分析显示,TGR-CRI-0045组织采用类似作案手法,利用泄露的密钥对恶意载荷进行签名,从而获取目标服务器的未授权访问权限,这种技术被称为ASP.NET ViewState反序列化攻击。网络安全公司表示:"该技术使IAB能够直接在服务器内存中执行恶意载荷,最小化磁盘痕迹并留下极少的取证证据,大大增加了检测难度。"最早的活动证据可追溯至2024年10月。
与传统Web Shell植入或基于文件的载荷不同,这种内存驻留技术可绕过许多依赖文件系统或进程树特征的旧版EDR解决方案。仅依赖文件完整性监控或反病毒签名的企业可能完全无法发现入侵行为,因此必须实施基于异常IIS请求模式、w3wp.exe生成的子进程或.NET应用程序行为突变的检测机制。
攻击活动时间线
据监测,2025年1月下旬至3月期间攻击活动显著激增,攻击者在此期间部署了开源端口扫描器等后渗透工具,以及用于本地提权的定制化C#程序updf等。
Unit 42观察到至少两起攻击事件中,攻击特征表现为源自IIS(Internet Information Services)Web服务器的命令Shell执行。另一个显著特点是攻击者可能使用了名为ysoserial.net的开源.NET反序列化载荷生成器和ViewState插件构建攻击载荷。
这些载荷绕过ViewState保护机制,触发内存中的.NET程序集执行。目前已识别出五种被加载到内存中的IIS模块:
- Cmd /c - 用于向系统命令Shell传递指令并在服务器上执行任意命令
- 文件上传 - 通过指定目标文件路径和包含文件内容的字节缓冲区实现文件上传
- Winner - 疑似用于检测漏洞利用是否成功
- 文件下载(未复原) - 疑似下载器功能,允许攻击者从受感染服务器获取敏感数据
- 反射加载器(未复原) - 疑似作为反射加载器动态加载并执行其他.NET程序集,且不留痕迹
后续攻击行为
Unit 42表示:"2024年10月至2025年1月期间,威胁行为者的活动主要集中在漏洞利用、部署模块(如漏洞检查器)和执行基本的Shell侦察。后渗透活动主要涉及对被入侵主机及周边网络的侦察。"
攻击者下载到受感染系统的其他工具包括:从外部服务器("195.123.240[.]233:443")下载的名为atm的ELF二进制文件,以及用于映射内网并识别潜在攻击目标的Golang端口扫描器TXPortMap。
研究人员指出:"TGR-CRI-0045采用简单的ViewState利用方法,直接加载单一无状态程序集。每次命令执行都需要重新利用漏洞并重新上传程序集(例如多次运行文件上传程序集)。"
安全建议
通过暴露的机器密钥利用ASP.NET View State反序列化漏洞可实现最小化磁盘痕迹并维持长期访问权限。该组织的机会主义攻击策略和持续的工具开发凸显了企业必须优先识别和修复被泄露的机器密钥。
此次攻击活动也凸显了更广泛的加密密钥暴露威胁,包括机器密钥生成策略薄弱、缺少MAC验证以及旧版ASP.NET应用程序的不安全默认配置等问题。企业应扩展内部威胁模型,纳入加密完整性风险、ViewState MAC篡改和IIS中间件滥用等场景,以构建更具弹性的应用安全和身份保护策略。