Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão ativamente explorando criptografia fraca no Gladinet CentreStack e Triofox. A cadeia utiliza chaves AES codificadas para recuperar o arquivo web.config e, em seguida, muda para ataques de desserialização do ViewState. Em dois incidentes observados em 15 de dezembro, o PowerShell entregue via processo de trabalho do IIS foi usado para baixar e executar um binário malicioso chamado conqueror.exe. A atividade está potencialmente ligada ao grupo de ransomware cl0p.
Investigação
A Huntress registrou PowerShell iniciado por w3wp.exe que invocou uma carga útil codificada em base64 para buscar conqueror.exe de 185.196.11.207. O executável foi salvo em C:UsersPublicconqueror.exe e executado para enumeração de host. O comportamento subsequente incluiu uma solicitação curl para o mesmo servidor e uso do quser.exe para listar sessões ativas. O ID do Evento 1316 também capturou tentativas de exploração de 146.70.134.50 associadas ao CVE-2025-30406.
Mitigação
A Gladinet lançou a versão 16.12.10420.56791, girando chaves criptográficas estáticas e corrigindo a fraqueza de desserialização do ViewState. As organizações devem atualizar prontamente e girar os valores machineKey existentes para invalidar exposições anteriores. Reveja os logs da web para a string de consulta criptografada “vghpI7EToZUDIZDdprSubL3mTZ2” para identificar sondagens ou explorações. Reduza ainda mais o risco desabilitando manipuladores IIS desnecessários e impondo validação de entrada rigorosa.
Resposta
Alerta sobre PowerShell com cargas úteis base64 originadas de w3wp.exe e na criação ou execução de C:UsersPublicconqueror.exe. Isole hosts afetados, preserve a telemetria do IIS e do endpoint, e bloqueie o tráfego externo para os IPs e URLs maliciosos citados. Verifique a integridade de web.config, gire as chaves da máquina imediatamente e conduza uma análise forense de todos os sistemas CentreStack/Triofox para verificar o impacto e remover artefatos.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[“<b>Ação</b> – <b>T1190 Exploração de Aplicação Exposta ao Público</b><br/><b>Descrição</b>: Explora vulnerabilidade de desserialização do ViewState no Gladinet CentreStack/Triofox para obter web.config.”] class action_exploit_public_facing action data_webconfig[“<b>Dados</b> – web.config<br/><b>Contém</b>: machineKey estático (chave AES e IV).”] class data_webconfig data action_data_from_config[“<b>Ação</b> – <b>T1602 Dados de Repositório de Configuração</b><br/><b>Descrição</b>: Extrai o machineKey estático do web.config.”] class action_data_from_config action action_obfuscation[“<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/><b>Descrição</b>: Usa chaves codificadas e PowerShell em Base64 para ocultar atividade maliciosa.”] class action_obfuscation action process_w3wp[“<b>Processo</b> – w3wp.exe (worker do IIS)”] class process_w3wp process action_indirect_exec[“<b>Ação</b> – <b>T1202 Execução Indireta de Comandos</b><br/><b>Descrição</b>: w3wp.exe inicia cmd.exe, que executa PowerShell.”] class action_indirect_exec action process_cmd[“<b>Processo</b> – cmd.exe”] class process_cmd process action_powershell[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Executa PowerShell codificado em Base64 que baixa conqueror.exe.”] class action_powershell action tool_powershell[“<b>Ferramenta</b> – PowerShell”] class tool_powershell tool file_conqueror[“<b>Arquivo</b> – C:\\Users\\Public\\conqueror.exe”] class file_conqueror file action_data_encoding[“<b>Ação</b> – <b>T1132 Codificação de Dados</b><br/><b>Descrição</b>: Transmite a carga PowerShell em Base64 para evasão de detecção.”] class action_data_encoding action action_file_discovery[“<b>Ação</b> – <b>T1083 Descoberta de Arquivos e Diretórios</b><br/><b>Descrição</b>: Usa quser.exe e enumera o diretório Huntress e outros caminhos.”] class action_file_discovery action tool_quser[“<b>Ferramenta</b> – quser.exe”] class tool_quser tool action_remote_service[“<b>Ação</b> – <b>T1210 Exploração de Serviços Remotos</b><br/><b>Descrição</b>: Baixa payload de 185.196.11.207:8000 via HTTP.”] class action_remote_service action network_endpoint[“<b>Rede</b> – 185.196.11.207:8000”] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Fluxo de ataque
Detecções
Comportamento Suspeito do Servidor IIS da Microsoft (via linha de comando)
Visualizar
Possível Exploração de Servidor Web ou WebApp [Windows] (via linha de comando)
Visualizar
Arquivos Suspeitos no Perfil Público de Usuário (via evento de arquivo)
Visualizar
Execução Suspeita do Perfil Público de Usuário (via criação de processo)
Visualizar
Download ou Upload via Powershell (via linha de comando)
Visualizar
Download de Arquivo Suspeito IP Direto (via proxy)
Visualizar
IOCs (HashSha256) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
IOCs (SourceIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
IOCs (DestinationIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
Detecção de Execução de PowerShell via cmd.exe com Codificação Base64 [Windows PowerShell]
Visualizar
Possível Execução Remota de Código via Processo de Trabalho do IIS com PowerShell [Criação de Processo do Windows]
Visualizar
Pedido GET Criptografado para web.config no Gladinet CentreStack [Servidor Web]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Base de Referência deve ter sido aprovada.
Motivo: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visarem gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa e Comandos do Ataque:
Um atacante, após identificar a instância do Gladinet CentreStack, cria uma carga útil criptografada que segue o formato de consulta vulnerável. Usando um cliente web legítimo (por exemplo,
curlou PowerShellInvoke-WebRequest), o atacante emite uma requisição GET para o endpoint oculto/storage/filesvr.dncom o token criptografado que, quando decifrado pelo servidor, resolve para uma solicitação porweb.config. A requisição é indistinguível do tráfego normal a nível de protocolo, mas o padrão de cifra único é capturado pela regra de detecção. -
Script de Teste de Regressão:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simula requisição GET criptografada para web.config do Gladinet CentreStack # ------------------------------------------------------------ # Servidor alvo (substitua por nome de host/IP real) TARGET="http://target-server.example.com" # Uma das cargas úteis criptografadas conhecidas pela regra (exemplo) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Emite a requisição curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandos de Limpeza:
# Nenhuma alteração persistente foi feita no alvo; apenas tráfego de rede foi gerado. # Se uma regra de firewall temporária ou captura de rede foi iniciada para o teste, remova-a: # Exemplo: parar tcpdump (Linux) ou remover filtro WinPcap (Windows) # sudo pkill -f tcpdump