Pada Desember 2024, Microsoft Threat Intelligence menemukan aktivitas threat actor yang belum diketahui identitasnya telah menggunakan ASP.NET Key yang terekspos secara public untuk melakukan injeksi kode berbahaya melalui Godzilla post-exploitation framework. Microsoft telah mengidentifikasi lebih dari 3.000 ASP.NET Key yang telah bocor, uniknya banyak developer yang menggunakan key tersebut sehingga attacker dapat menggunakan key tersebut pada serangan ini. Serangan injeksi kode ini disebut ViewState code injection attacks.

1. ASP.NET key yang terekspos secara publik digunakan ulang oleh developer di aplikasi ASP.NET mereka.  

2. Threat Actor membuat malicious ViewState menggunakan ASP.NET key yang terekspos secara publik kemudian dikirim ke aplikasi korban melalui POST request.

3. ASP.NET melakukan validasi key dan memuat malicious code.

4. Malicious code dimuat ke aplikasi ASP.NET kemudian memuat Godzilla post-exploitation framework melalui assembly.dll.

1. Cek aplikasi ASP.NET yang digunakan apakah menggunakan key yang masuk dalam list 3.000 key yang bocor menggunakan script resmi dari Microsoft berikut -> https://aka.ms/exposed-machine-keys

2. Jangan menggunakan default ASP.NET key atau key yang ditemukan di publik.

3. Enkripsi elemen machineKey dan connectionStrings untuk mencegah akses ke plaintext secrets. 

4. Upgrade ASP.NET ke versi 4.8 atau lebih baru untuk dapat mengaktifkan Antimalware Scan Interface (AMSI).

5. Lakukan hardening Windows Servers menggunakan attack surface reduction rules seperti Block Webshell creation untuk Server.