Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» сообщают, что заблокировали шпионскую активность APT-группировки Obstinate Mogwai в инфраструктуре неназванного российского телеком-оператора. В атаке хакеры использовали старую, но не полностью устраненную уязвимость десериализации в параметре ViewState (управляет состоянием веб-страниц среды ASP.NET, разработанной Microsoft).
Уязвимость позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP.NET. Исследователи отмечают, что сам факт ее эксплуатации нелегко обнаружить, а методика реагирования ранее не описывалась в профильных сообществах.
Проблема параметра ViewState известна еще с 2014 года. Фактически она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, подменять или портить данные.
Расследование началось после того, как защитные средства обнаружили подозрительную активность в инфраструктуре неназванной телеком-компании. Оказалась, что к этому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных самой компании и ее клиентов.
Эксперты пишут, что несколько раз находили вредоносные инструменты группировки в атакованной сети и удаляли их. Однако через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость исследователи назвали эту хак-группу Obstinate Mogwai («Упрямый демон») и обещают в будущем опубликовать подробный отчет от этих хакерах.
Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP.NET. Сериализация – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений (например, при их взаимодействии друг с другом). Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации выполнять произвольный код.
Уязвимость была частично исправлена все в том же 2014 году. Тогда компания Microsoft, разрабатывающая платформу ASP.NET, добавила в ее фреймворк механизм MAC-валидации данных при десериализации. Однако оказалось, что злоумышленники могут обойти этот механизм, если знают ключи валидации ViewState.
Для получения ключей нужно либо взломать IIS-сервер с ключами, либо добраться до него, взломав другие части сети организации. Возможно, осознавая сложность эксплуатации уязвимости, производитель оставил ее в статусе Won’t Fix (не будет исправлена). Однако практика показала, что такие целевые атаки вполне реальны – на сегодня в мире известно не менее восьми подобных случаев.
Специалисты Solar 4RAYS обнаружили следы использования уязвимости десериализации ViewState, когда злоумышленники стали отправлять в атакованную систему сериализованные инструкции для задания определенных настроек (гаджеты). В записях журналов Windows было замечено, что после десериализации эти инструкции выполняются. В соответствии с логикой ASP.NET, для успешной работы подобных гаджетов требуются ключи валидации. Эти обстоятельства и указали на возможный вектор атаки.
Кроме того, в определенный момент гаджет, который позволял атакующим удаленно выполнять код с помощью десериализации, перестал работать правильно. Благодаря этому исследователи сумели извлечь вредоносную нагрузку из сериализованных данных, понять, как Obstinate Mogwai выполняли команды на сервере жертвы, и окончательно пресечь эту активность.
«У этой уязвимости любопытный статус: c одной стороны она старая и формально не является критической, что создает впечатление ее относительной безопасности. С другой – она дает злоумышленникам немало возможностей для развития атаки. Исчерпывающих инструкций по обнаружению и пресечению атак через ViewState в открытом доступе мы не нашли, поэтому с помощью нашего исследования хотим закрыть этот пробел», — рассказывает Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар».
