Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure nutzen aktiv schwache Kryptographie in Gladinet CentreStack und Triofox aus. Die Kette verwendet fest codierte AES-Schlüssel, um die web.config-Datei abzurufen und dann zu ViewState-Deserialisierungsangriffen überzugehen. In zwei Vorfällen am 15. Dezember wurde PowerShell über den IIS-Arbeitsprozess verwendet, um eine bösartige Binärdatei namens conqueror.exe herunterzuladen und auszuführen. Die Aktivität ist möglicherweise mit der Cl0p Ransomware-Gruppe verbunden.
Untersuchung
Huntress zeichnete PowerShell auf, die von w3wp.exe gestartet wurde und eine base64-codierte Nutzlast aufrief, um conqueror.exe von 185.196.11.207 abzurufen. Die ausführbare Datei wurde in C:UsersPublicconqueror.exe gespeichert und zur Host-Aufzählung ausgeführt. Folgeverhalten umfasste eine Curl-Anfrage an denselben Server und die Verwendung von quser.exe, um aktive Sitzungen aufzulisten. Auch die Ereignis-ID 1316 erfasste Ausnutzungsversuche von 146.70.134.50 im Zusammenhang mit CVE-2025-30406.
Abschwächung
Gladinet veröffentlichte Version 16.12.10420.56791 und drehte statische kryptographische Schlüssel sowie die Behebung der ViewState-Deserialisierungsschwäche. Organisationen sollten sofort upgraden und bestehende machineKey-Werte ändern, um frühere Expositionen zu ungültig zu machen. Überprüfen Sie Web-Protokolle auf die verschlüsselte Abfragezeichenkette „vghpI7EToZUDIZDdprSubL3mTZ2“, um Sondierungs- oder Ausnutzungsversuche zu identifizieren. Reduzieren Sie das Risiko weiter, indem Sie unnötige IIS-Handler deaktivieren und strikte Eingabevalidierung erzwingen.
Antwort
Alarmieren Sie bei PowerShell mit Base64-Nutzlasten ausgehend von w3wp.exe sowie bei Erstellung oder Ausführung von C:UsersPublicconqueror.exe. Isolieren Sie betroffene Hosts, bewahren Sie IIS- und Endpunkt-Telemetrie auf und blockieren Sie ausgehenden Datenverkehr zu den genannten bösartigen IPs und URLs. Überprüfen Sie die Integrität von web.config, ändern Sie maschinelle Schlüssel sofort und führen Sie eine forensische Überprüfung aller CentreStack/Triofox-Systeme durch, um die Auswirkungen zu erfassen und Artefakte zu entfernen.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[„<b>Aktion</b> – <b>T1190 Ausnutzung öffentlich zugänglicher Anwendungen</b><br/><b>Beschreibung</b>: Nutzt eine ViewState-Deserialisierungs-Schwachstelle in Gladinet CentreStack/Triofox aus, um web.config abzurufen.“] class action_exploit_public_facing action data_webconfig[„<b>Daten</b> – web.config<br/><b>Enthält</b>: Statischen machineKey (AES-Schlüssel und IV).“] class data_webconfig data action_data_from_config[„<b>Aktion</b> – <b>T1602 Daten aus Konfigurations-Repository</b><br/><b>Beschreibung</b>: Extrahiert den statischen machineKey aus der web.config.“] class action_data_from_config action action_obfuscation[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Verwendet fest codierte Schlüssel und Base64-kodiertes PowerShell zur Verschleierung bösartiger Aktivitäten.“] class action_obfuscation action process_w3wp[„<b>Prozess</b> – w3wp.exe (IIS Worker)“] class process_w3wp process action_indirect_exec[„<b>Aktion</b> – <b>T1202 Indirekte Befehlsausführung</b><br/><b>Beschreibung</b>: w3wp.exe startet cmd.exe, welches PowerShell ausführt.“] class action_indirect_exec action process_cmd[„<b>Prozess</b> – cmd.exe“] class process_cmd process action_powershell[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: Führt Base64-kodiertes PowerShell aus, das conqueror.exe herunterlädt.“] class action_powershell action tool_powershell[„<b>Tool</b> – PowerShell“] class tool_powershell tool file_conqueror[„<b>Datei</b> – C:\\Users\\Public\\conqueror.exe“] class file_conqueror file action_data_encoding[„<b>Aktion</b> – <b>T1132 Datenkodierung</b><br/><b>Beschreibung</b>: Überträgt das PowerShell-Payload in Base64 zur Umgehung der Erkennung.“] class action_data_encoding action action_file_discovery[„<b>Aktion</b> – <b>T1083 Datei- und Verzeichnisaufklärung</b><br/><b>Beschreibung</b>: Verwendet quser.exe und enumeriert das Huntress-Verzeichnis sowie weitere Pfade.“] class action_file_discovery action tool_quser[„<b>Tool</b> – quser.exe“] class tool_quser tool action_remote_service[„<b>Aktion</b> – <b>T1210 Ausnutzung entfernter Dienste</b><br/><b>Beschreibung</b>: Lädt das Payload über HTTP von 185.196.11.207:8000 herunter.“] class action_remote_service action network_endpoint[„<b>Netzwerk</b> – 185.196.11.207:8000“] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Angriffsfluss
Erkennungen
Verdächtiges Verhalten des Microsoft IIS-Servers (über cmdline)
Ansicht
Mögliche Ausnutzung von Webserver oder WebApp [Windows] (via cmdline)
Ansicht
Verdächtige Dateien im öffentlichen Benutzerprofil (über file_event)
Ansicht
Verdächtige Ausführung aus öffentlichem Benutzerprofil (über process_creation)
Ansicht
Download oder Upload via PowerShell (über cmdline)
Ansicht
Verdächtiger Dateidownload direkte IP (über Proxy)
Ansicht
IOCs (HashSha256) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox
Ansicht
IOCs (SourceIP) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox
Ansicht
IOCs (DestinationIP) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox
Ansicht
Erkennung der PowerShell-Ausführung über cmd.exe mit Base64-Kodierung [Windows PowerShell]
Ansicht
Potenzielle Remote-Code-Ausführung über IIS-Arbeitsprozess mit PowerShell [Windows Process Creation]
Ansicht
Verschlüsselter GET-Request für web.config in Gladinet CentreStack [Webserver]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinientest muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu dient, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriff-Narrativ & Befehle:
Ein Angreifer, der die Gladinet CentreStack-Instanz identifiziert hat, erstellt eine verschlüsselte Nutzlast, die dem anfälligen Abfrageformat entspricht. Unter Verwendung eines legitimen Webclients (z.B.
curloder PowerShellInvoke-WebRequest), gibt der Angreifer eine GET-Anfrage an den verborgenen Endpunkt/storage/filesvr.dnmit dem verschlüsselten Token heraus, das, wenn es vom Server entschlüsselt wird, zu einer Anfrage fürweb.configführt. Die Anfrage ist auf Protokollebene nicht von normalem Datenverkehr zu unterscheiden, aber das einzigartige Chiffremuster wird von der Erkennungsregel erfasst. -
Regressionstest-Skript:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simuliere verschlüsselte GET-Anfrage für Gladinet CentreStack web.config # ------------------------------------------------------------ # Zielserver (mit tatsächlichem Hostname/IP ersetzen) TARGET="http://target-server.example.com" # Einer der bekannten verschlüsselten Nutzlasten aus der Regel (Beispiel) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Anfrage ausführen curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Bereinigungskommandos:
# Es wurden keine dauerhaften Änderungen am Ziel vorgenommen; nur Netzwerkverkehr wurde erzeugt. # Wenn eine temporäre Firewall-Regel oder ein Netzwerkmitschnitt für den Test gestartet wurde, entfernen Sie diese: # Beispiel: tcpdump stoppen (Linux) oder WinPcap-Filter entfernen (Windows) # sudo pkill -f tcpdump