Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace exploitent activement la cryptographie faible dans Gladinet CentreStack et Triofox. La chaîne utilise des clés AES codées en dur pour récupérer le fichier web.config puis pivote vers des attaques de désérialisation ViewState. Lors de deux incidents observés le 15 décembre, PowerShell livré via le processus de travail IIS a été utilisé pour télécharger et exécuter un binaire malveillant nommé conqueror.exe. L’activité est potentiellement liée au groupe de ransomware cl0p.
Enquête
Huntress a enregistré le lancement de PowerShell par w3wp.exe qui a invoqué une charge utile encodée en base64 pour récupérer conqueror.exe depuis 185.196.11.207. L’exécutable a été enregistré dans C:UsersPublicconqueror.exe et exécuté pour l’énumération de l’hôte. Le comportement ultérieur comprenait une requête curl vers le même serveur et l’utilisation de quser.exe pour lister les sessions actives. L’ID d’événement 1316 a également capturé des tentatives d’exploitation provenant de 146.70.134.50 associées à CVE-2025-30406.
Atténuation
Gladinet a publié la version 16.12.10420.56791, tournant les clés cryptographiques statiques et corrigeant la faiblesse de désérialisation ViewState. Les organisations doivent passer à cette version rapidement et tourner les valeurs machineKey existantes pour invalider l’exposition antérieure. Examinez les journaux Web pour la chaîne de requête chiffrée « vghpI7EToZUDIZDdprSubL3mTZ2 » pour identifier des sondeurs ou exploitations. Réduisez davantage le risque en désactivant les gestionnaires IIS inutiles et en appliquant une validation stricte des entrées.
Réponse
Alertez sur PowerShell avec des charges utiles en base64 provenant de w3wp.exe et sur la création ou exécution de C:UsersPublicconqueror.exe. Isolez les hôtes affectés, préservez la télémétrie IIS et des endpoints, et bloquez le trafic sortant vers les IPs et URLs malveillants cités. Vérifiez l’intégrité de web.config, changez immédiatement les clés machine, et réalisez un examen médico-légal de tous les systèmes CentreStack/Triofox pour évaluer l’impact et retirer les artefacts.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[« <b>Action</b> – <b>T1190 Exploitation d’une Application Exposée au Public</b><br/><b>Description</b>: Exploite une vulnérabilité de désérialisation ViewState dans Gladinet CentreStack/Triofox afin d’obtenir web.config. »] class action_exploit_public_facing action data_webconfig[« <b>Données</b> – web.config<br/><b>Contient</b>: machineKey statique (clé AES et IV). »] class data_webconfig data action_data_from_config[« <b>Action</b> – <b>T1602 Données depuis un Dépôt de Configuration</b><br/><b>Description</b>: Extrait le machineKey statique depuis web.config. »] class action_data_from_config action action_obfuscation[« <b>Action</b> – <b>T1027 Fichiers ou Informations Obfusqués</b><br/><b>Description</b>: Utilise des clés codées en dur et du PowerShell encodé en Base64 pour masquer l’activité malveillante. »] class action_obfuscation action process_w3wp[« <b>Processus</b> – w3wp.exe (worker IIS) »] class process_w3wp process action_indirect_exec[« <b>Action</b> – <b>T1202 Exécution Indirecte de Commandes</b><br/><b>Description</b>: w3wp.exe lance cmd.exe, qui exécute PowerShell. »] class action_indirect_exec action process_cmd[« <b>Processus</b> – cmd.exe »] class process_cmd process action_powershell[« <b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Exécute du PowerShell encodé en Base64 qui télécharge conqueror.exe. »] class action_powershell action tool_powershell[« <b>Outil</b> – PowerShell »] class tool_powershell tool file_conqueror[« <b>Fichier</b> – C:\\Users\\Public\\conqueror.exe »] class file_conqueror file action_data_encoding[« <b>Action</b> – <b>T1132 Encodage des Données</b><br/><b>Description</b>: Transmet le payload PowerShell en Base64 afin d’éviter la détection. »] class action_data_encoding action action_file_discovery[« <b>Action</b> – <b>T1083 Découverte de Fichiers et Répertoires</b><br/><b>Description</b>: Utilise quser.exe et énumère le répertoire Huntress ainsi que d’autres chemins. »] class action_file_discovery action tool_quser[« <b>Outil</b> – quser.exe »] class tool_quser tool action_remote_service[« <b>Action</b> – <b>T1210 Exploitation de Services Distants</b><br/><b>Description</b>: Télécharge le payload depuis 185.196.11.207:8000 via HTTP. »] class action_remote_service action network_endpoint[« <b>Réseau</b> – 185.196.11.207:8000 »] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Flux d’attaque
Détections
Comportement suspect du serveur Microsoft IIS (via cmdline)
Afficher
Exploitation possible du serveur Web ou de l’application Web [Windows] (via cmdline)
Afficher
Fichiers suspects dans le profil utilisateur public (via file_event)
Afficher
Exécution suspecte à partir du profil utilisateur public (via process_creation)
Afficher
Téléchargement ou envoi via Powershell (via cmdline)
Afficher
Téléchargement de fichier suspect IP directe (via proxy)
Afficher
IOCs (HashSha256) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox
Afficher
IOCs (SourceIP) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox
Afficher
IOCs (DestinationIP) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox
Afficher
Détection de l’exécution de PowerShell via cmd.exe avec encodage Base64 [Windows Powershell]
Afficher
Exécution de code à distance potentielle via le processus de travail IIS avec PowerShell [Création de processus Windows]
Afficher
Requête GET chiffrée pour web.config dans Gladinet CentreStack [Serveur Web]
Afficher
Exécution de simulation
Prérequis : Le contrôle préalable de la télémétrie & du baseline doit avoir réussi.
Justification: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à des erreurs de diagnostic.
-
Narratif & Commandes de l’Attaque :
Un attaquant, après avoir identifié l’instance Gladinet CentreStack, confectionne une charge utile chiffrée conforme au format de demande vulnérable. En utilisant un client Web légitime (par exemple,
curlou PowerShellInvoke-WebRequest), l’attaquant émet une requête GET vers le point de terminaison caché/storage/filesvr.dnavec le jeton chiffré qui, une fois déchiffré par le serveur, se résout en une requête pourweb.config. La demande est indiscernable du trafic normal au niveau du protocole, mais le modèle unique de texte chiffré est capturé par la règle de détection. -
Script de test de régression :
#!/usr/bin/env bash # ------------------------------------------------------------ # Simuler la requête GET chiffrée pour Gladinet CentreStack web.config # ------------------------------------------------------------ # Serveur cible (remplacez par le nom d'hôte/IP réel) TARGET="http://target-server.example.com" # Une des charges utiles chiffrées connues de la règle (exemple) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Émettre la requête curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Commandes de nettoyage :
# Aucun changement persistant n'a été apporté à la cible; seul le trafic réseau a été généré. # Si une règle de pare-feu temporaire ou une capture réseau a été commencée pour le test, enlevez-la : # Exemple : arrêter tcpdump (Linux) ou retirer le filtre WinPcap (Windows) # sudo pkill -f tcpdump