SOC Prime Bias: クリティカル

29 12月 2025 12:55
newspaper icon Huntress

Gladinet CentreStack/Triofoxの不安定な暗号脆弱性のアクティブな悪用

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
Gladinet CentreStack/Triofoxの不安定な暗号脆弱性のアクティブな悪用
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

Threat actors are actively exploiting weak cryptography in Gladinet CentreStack and Triofox. The chain leverages hard-coded AES keys to retrieve the web.config file and then pivots to ViewState deserialization attacks. In two incidents observed on December 15, PowerShell delivered via the IIS worker process was used to download and execute a malicious binary named conqueror.exe. The activity is potentially linked to the cl0p ransomware group.

調査

Huntress recorded PowerShell spawned by w3wp.exe that invoked a base64-encoded payload to fetch conqueror.exe from 185.196.11.207. The executable was saved to C:UsersPublicconqueror.exe and run for host enumeration. Follow-on behavior included a curl request to the same server and use of quser.exe to list active sessions. Event ID 1316 also captured exploitation attempts from 146.70.134.50 associated with CVE-2025-30406.

緩和策

Gladinet released version 16.12.10420.56791, rotating static cryptographic keys and patching the ViewState deserialization weakness. Organizations should upgrade promptly and rotate existing machineKey values to invalidate prior exposure. Review web logs for the encrypted query string “vghpI7EToZUDIZDdprSubL3mTZ2” to identify probing or exploitation. Further reduce risk by disabling unnecessary IIS handlers and enforcing strict input validation.

対応策

Alert on PowerShell with base64 payloads originating from w3wp.exe and on creation or execution of C:UsersPublicconqueror.exe. Isolate affected hosts, preserve IIS and endpoint telemetry, and block outbound traffic to the malicious IPs and URLs cited. Verify web.config integrity, rotate machine keys immediately, and conduct a forensic review of all CentreStack/Triofox systems to scope impact and remove artifacts.

graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[“<b>アクション</b> – <b>T1190 公開向けアプリケーションの悪用</b><br/><b>説明</b>: Gladinet CentreStack/Triofox の ViewState デシリアライズ脆弱性を悪用し、web.config を取得する。”] class action_exploit_public_facing action data_webconfig[“<b>データ</b> – web.config<br/><b>内容</b>: 静的な machineKey(AES キーおよび IV)。”] class data_webconfig data action_data_from_config[“<b>アクション</b> – <b>T1602 構成リポジトリからのデータ取得</b><br/><b>説明</b>: web.config から静的な machineKey を抽出する。”] class action_data_from_config action action_obfuscation[“<b>アクション</b> – <b>T1027 難読化されたファイルまたは情報</b><br/><b>説明</b>: ハードコードされたキーと Base64 エンコードされた PowerShell を使用して悪意のある活動を隠蔽する。”] class action_obfuscation action process_w3wp[“<b>プロセス</b> – w3wp.exe(IIS ワーカー)”] class process_w3wp process action_indirect_exec[“<b>アクション</b> – <b>T1202 間接的なコマンド実行</b><br/><b>説明</b>: w3wp.exe が cmd.exe を起動し、PowerShell を実行する。”] class action_indirect_exec action process_cmd[“<b>プロセス</b> – cmd.exe”] class process_cmd process action_powershell[“<b>アクション</b> – <b>T1059.001 PowerShell</b><br/><b>説明</b>: Base64 エンコードされた PowerShell を実行し、conqueror.exe をダウンロードする。”] class action_powershell action tool_powershell[“<b>ツール</b> – PowerShell”] class tool_powershell tool file_conqueror[“<b>ファイル</b> – C:\\Users\\Public\\conqueror.exe”] class file_conqueror file action_data_encoding[“<b>アクション</b> – <b>T1132 データエンコーディング</b><br/><b>説明</b>: 検知回避のため PowerShell ペイロードを Base64 で送信する。”] class action_data_encoding action action_file_discovery[“<b>アクション</b> – <b>T1083 ファイルおよびディレクトリ探索</b><br/><b>説明</b>: quser.exe を使用し、Huntress ディレクトリや他のパスを列挙する。”] class action_file_discovery action tool_quser[“<b>ツール</b> – quser.exe”] class tool_quser tool action_remote_service[“<b>アクション</b> – <b>T1210 リモートサービスの悪用</b><br/><b>説明</b>: HTTP 経由で 185.196.11.207:8000 からペイロードをダウンロードする。”] class action_remote_service action network_endpoint[“<b>ネットワーク</b> – 185.196.11.207:8000”] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser

攻撃フロー

検出

疑わしいMicrosoft IISサーバーの動作(cmdline経由)

SOC Prime チーム
2025年12月23日

表示

可能性のあるWebサーバーまたはWebアプリケーションの悪用[Windows](cmdline経由)

SOC Prime チーム
2025年12月23日

表示

公開ユーザープロファイルでの疑わしいファイル(file_event経由)

SOC Prime チーム
2025年12月23日

表示

公開ユーザープロファイルからの疑わしい実行(process_creation経由)

SOC Prime チーム
2025年12月23日

表示

PowerShellでのダウンロードまたはアップロード(cmdline経由)

SOC Prime チーム
2025年12月23日

表示

疑わしいファイルダウンロード直接IP(プロキシ経由)

SOC Prime チーム
2025年12月23日

表示

IOCs (HashSha256)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

表示

IOCs (SourceIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

表示

IOCs (DestinationIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

表示

Base64 エンコーディング付きの cmd.exe 経由の PowerShell 実行を検出[Windows PowerShell]

SOC Prime AI ルール
2025年12月23日

表示

PowerShellを利用したIISワーカープロセスによる潜在的なリモートコード実行[Windowsプロセス作成]

SOC Prime AI ルール
2025年12月23日

表示

Gladinet CentreStackのweb.configの暗号化されたGETリクエスト[Webサーバー]

SOC Prime AI ルール
2025年12月23日

表示

シミュレーション実行

前提条件: テレメトリとベースラインのプリフライトチェックが成功している必要があります。

理由: このセクションは、検出ルールをトリガーするために設計された攻撃者技術(TTP)の正確な実行を詳述しています。 コマンドと説明は、TTPに直接反映されなければならず、検出ロジックが予期する正確なテレメトリを生成することを目指しています。 抽象的または無関係な例は、誤診につながります。

  • 攻撃の概要とコマンド:

    攻撃者がGladinet CentreStackインスタンスを特定した後、脆弱なクエリ形式に従う暗号化されたペイロードを作成します。 正当なWebクライアントを使用して( curl またはPowerShell Invoke-WebRequest)、攻撃者は暗号化されたトークンを含むGETリクエストを 隠されたエンドポイントに発行します。 /storage/filesvr.dn サーバーによって復号化されると web.configに対するリクエストに解決されます。そのリクエストはプロトコルレベルでは通常のトラフィックと区別がつきませんが、独自の暗号文パターンは検出ルールによってキャプチャされます。

  • 回帰テストスクリプト:

    #!/usr/bin/env bash
# ------------------------------------------------------------
# Gladinet CentreStack web.configの暗号化されたGETリクエストをシミュレート
# ------------------------------------------------------------

# 対象サーバー(実際のホスト名/IPで置き換え)
TARGET="http://target-server.example.com"

# ルールからの既知の暗号化されたペイロードの一つ(例)
ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"

# リクエストを発行
curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
# ------------------------------------------------------------

  • クリーンアップコマンド:

    # ターゲットに永続的な変更は加えられませんでした。生成されたのはネットワークトラフィックのみです。
# テストのために一時的なファイアウォー​​ルルールまたはネットワークキャプチャを開始した場合、それを削除する:

# 例: tcpdumpを停止 (Linux) または WinPcap フィルターを削除 (Windows)
# sudo pkill -f tcpdump

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加