ASP.NET Makine Anahtarlarının Kötüye Kullanımı
Son dönemde siber saldırılar, kurumların güvenliğini tehdit eden önemli bir mesele haline gelmiştir. Bu bağlamda, ASP.NET makine anahtarlarının kötüye kullanımı dikkat çekici bir konu olarak ön plana çıkmaktadır. İlaç sektörü, finansal hizmetler ve teknoloji gibi pek çok farklı sektörde yer alan organizasyonlar, bu tür saldırılara karşı savunmasız kalabilmektedir.
- ASP.NET Makine Anahtarlarının Kötüye Kullanımı
- İlk Erişim Aracı: Gold Melody
- Saldırı Yöntemleri ve Hedefler
- Microsoft’un Uyarıları
- İlk Belirtiler
- Modus Operandi
- Maliyet ve Etkiler
- Saldırıların Belirgin Özellikleri
- Saldırılara Karşı Alınacak Önlemler
- İçerik Yönetimi ve Uygulama Güvenliği
- Risk Yönetimi ve Uygun Çözümler
İlk Erişim Aracı: Gold Melody
Gold Melody olarak bilinen İlk Erişim Aracı (IAB), çeşitli siber suç gruplarına yetkisiz erişim sağlamak amacıyla sızılmış ASP.NET makine anahtarlarını kullanmaktadır. Palo Alto Networks tarafından yapılan incelemelere göre, bu aktivite TGR-CRI-0045 olarak adlandırılmaktadır. “TGR” geçici grup anlamına gelirken, “CRI” ise suç motivasyonunu ifade etmektedir.
Saldırı Yöntemleri ve Hedefler
Gold Melody, özellikle opportunistik bir yaklaşım sergileyerek, Avrupa ve ABD’deki finans, imalat, toptan ve perakende, yüksek teknoloji ve ulaşım sektörlerinde faaliyet gösteren kuruluşlara saldırılar düzenlemektedir. Palo Alto’nın araştırmacıları Tom Marsden ve Chema Garcia, bu grubun hedeflerine ulaşmada kullanılan yöntemleri detaylı bir şekilde incelemişlerdir.
Microsoft’un Uyarıları
Microsoft, Şubat 2025’te bu tür saldırıların varlığını ilk kez duyurmuş ve kamuya açıklanan 3,000’in üzerinde makine anahtarının sistemlere zarar verebileceğine dikkat çekmiştir. Bu anahtarlar, ViewState kod enjeksiyonu saldırıları için kullanılmakta ve bu durum, her türlü kod yürütülmesine sebep olabilmektedir.
İlk Belirtiler
Saldırıların ilk belirtileri, 2024 Aralık ayında, bilinmeyen bir saldırganın public bir ASP.NET makine anahtarını kullanarak kötü amaçlı kodu içeri aktarmasıyla tespit edilmiştir. Bu sayede, Godzilla isimli bir post-exploitation framework’u kullanılmaya başlamıştır.
Modus Operandi
Unit 42’nin analizlerine göre, TGR-CRI-0045 grubunun modus operandi, sızdırılmış anahtarları kullanarak kötü amaçlı yüklerin imzalanmasını içermektedir. Bu teknik, dışarıya minimum iz bırakarak, sunucu belleğinde kötü amaçlı yüklerin yürütülmesine izin vermekte ve geçmişte bu tür saldırılardan korunmayı zorlaştırmaktadır.
Maliyet ve Etkiler
Saldırılar, yazılım geliştirme süreçlerini olumsuz etkilemekle kalmayıp, finansal kayıplara da yol açmaktadır. Etkinliklerin artış gösterdiği dönemlerde, post-exploitation araçlarının dağıtılması dikkat çekmektedir. Örneğin, açık kaynaklı port tarayıcıları ve C# tabanlı yazılımlar kullanılarak, yerel ayrıcalıkların artırılması hedeflenmiştir.
Saldırıların Belirgin Özellikleri
Yapılan gözlemler, Internet Information Services (IIS) web sunucuları üzerinden komut kabuğu yürütme işlemleri ile ilişkilendirilen saldırı vakalarına işaret etmektedir. Bu vakalarda, ysoserial.net gibi açık kaynaklı bir .NET deserialization yükleyici kullanıldığı anlaşılmaktadır. Bu tür saldırılar, geleneksel antivirüs çözümlerinin atladığı yerleşik bellek tekniklerine güvenerek gerçekleştirilmektedir.
Saldırılara Karşı Alınacak Önlemler
Kurumların, siber güvenlik modellerini güçlendirmek ve bu tür saldırılara karşı koruma sağlamak için proaktif adımlar atmaları gerekmektedir. Özellikle, davranışsal algılama yöntemlerine odaklanmak, anormal IIS sorgu desenlerini izlemek ve .NET uygulama davranışlarındaki ani değişimleri gözlemlemek kritik bir hale gelmiştir.
İçerik Yönetimi ve Uygulama Güvenliği
ASP.NET makine anahtarlarının sızdırılması, siber güvenlik alanında önemli bir mesele olarak öne çıkmaktadır. Zayıf makine anahtarı oluşturma politikaları ve güvensiz varsayılan ayarlar, saldırganlar için çeşitli fırsatlar yaratmaktadır. Bu nedenle, içerik yönetimi ve uygulama güvenliği stratejileri, bu tür eksikliklerin giderilmesine yönelik daha kapsamlı bir yaklaşım içermelidir.
Risk Yönetimi ve Uygun Çözümler
Sonuç olarak, organizasyonların siber güvenlik stratejilerine kriptografik bütünlük risklerini dahil etmeleri zorunludur. Gelecekte bu tür saldırılara maruz kalmamak için iyi planlanmış bir güvenlik yapısının oluşturulması ve düzenli güvenlik testlerinin yapılması zaruridir. Kriptografik anahtarların korunması, organizasyonların uzun vadeli başarısı açısından kritik bir öneme sahiptir.
