Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Gli attori delle minacce stanno sfruttando attivamente la crittografia debole in Gladinet CentreStack e Triofox. La catena sfrutta chiavi AES codificate per recuperare il file web.config e poi si sposta su attacchi di deserializzazione ViewState. In due incidenti osservati il 15 dicembre, PowerShell consegnato tramite il processo di lavoro IIS è stato utilizzato per scaricare ed eseguire un binario dannoso chiamato conqueror.exe. L’attività è potenzialmente collegata al gruppo ransomware cl0p.
Indagine
Huntress ha registrato PowerShell avviato da w3wp.exe che ha invocato un payload codificato base64 per recuperare conqueror.exe da 185.196.11.207. L’eseguibile è stato salvato in C:UsersPublicconqueror.exe ed eseguito per l’enumerazione dell’host. Il comportamento successivo ha incluso una richiesta curl allo stesso server e l’uso di quser.exe per elencare le sessioni attive. L’ID evento 1316 ha anche catturato tentativi di sfruttamento da 146.70.134.50 associato a CVE-2025-30406.
Mitigazione
Gladinet ha rilasciato la versione 16.12.10420.56791, ruotando le chiavi crittografiche statiche e correggendo la debolezza della deserializzazione ViewState. Le organizzazioni dovrebbero aggiornare prontamente e ruotare i valori machineKey esistenti per invalidare l’esposizione precedente. Rivedere i log web per la stringa di query criptata “vghpI7EToZUDIZDdprSubL3mTZ2” per identificare il probing o lo sfruttamento. Ridurre ulteriormente il rischio disabilitando gli handler IIS non necessari e applicando una convalida rigorosa degli input.
Risposta
Allerta su PowerShell con payload base64 provenienti da w3wp.exe e sulla creazione o esecuzione di C:UsersPublicconqueror.exe. Isolare gli host interessati, conservare la telemetria IIS e dell’endpoint, e bloccare il traffico in uscita verso gli IP e URL dannosi citati. Verificare l’integritĂ del web.config, ruotare immediatamente le chiavi macchina, e condurre una revisione forense di tutti i sistemi CentreStack/Triofox per determinare l’impatto e rimuovere gli artefatti.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[“<b>Azione</b> – <b>T1190 Sfruttamento di Applicazione Esposta Pubblicamente</b><br/><b>Descrizione</b>: Sfrutta una vulnerabilitĂ di deserializzazione ViewState in Gladinet CentreStack/Triofox per ottenere web.config.”] class action_exploit_public_facing action data_webconfig[“<b>Dati</b> – web.config<br/><b>Contiene</b>: machineKey statico (chiave AES e IV).”] class data_webconfig data action_data_from_config[“<b>Azione</b> – <b>T1602 Dati da Repository di Configurazione</b><br/><b>Descrizione</b>: Estrae il machineKey statico dal web.config.”] class action_data_from_config action action_obfuscation[“<b>Azione</b> – <b>T1027 File o Informazioni Offuscate</b><br/><b>Descrizione</b>: Utilizza chiavi hardcoded e PowerShell codificato in Base64 per nascondere attivitĂ malevole.”] class action_obfuscation action process_w3wp[“<b>Processo</b> – w3wp.exe (worker IIS)”] class process_w3wp process action_indirect_exec[“<b>Azione</b> – <b>T1202 Esecuzione Indiretta di Comandi</b><br/><b>Descrizione</b>: w3wp.exe avvia cmd.exe che esegue PowerShell.”] class action_indirect_exec action process_cmd[“<b>Processo</b> – cmd.exe”] class process_cmd process action_powershell[“<b>Azione</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Esegue PowerShell codificato in Base64 che scarica conqueror.exe.”] class action_powershell action tool_powershell[“<b>Strumento</b> – PowerShell”] class tool_powershell tool file_conqueror[“<b>File</b> – C:\\Users\\Public\\conqueror.exe”] class file_conqueror file action_data_encoding[“<b>Azione</b> – <b>T1132 Codifica dei Dati</b><br/><b>Descrizione</b>: Trasmette il payload PowerShell in Base64 per eludere il rilevamento.”] class action_data_encoding action action_file_discovery[“<b>Azione</b> – <b>T1083 Scoperta di File e Directory</b><br/><b>Descrizione</b>: Utilizza quser.exe ed enumera la directory Huntress e altri percorsi.”] class action_file_discovery action tool_quser[“<b>Strumento</b> – quser.exe”] class tool_quser tool action_remote_service[“<b>Azione</b> – <b>T1210 Sfruttamento di Servizi Remoti</b><br/><b>Descrizione</b>: Scarica il payload da 185.196.11.207:8000 tramite HTTP.”] class action_remote_service action network_endpoint[“<b>Rete</b> – 185.196.11.207:8000”] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Flusso di attacco
Rilevamenti
Comportamento Sospetto del Server Microsoft IIS (tramite cmdline)
Visualizza
Possibile Sfruttamento del Server Web o WebApp [Windows] (tramite cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite file_evento)
Visualizza
Esecuzione Sospetta dal Profilo Utente Pubblico (tramite creazione_processi)
Visualizza
Download o Upload tramite Powershell (tramite cmdline)
Visualizza
Download di File Sospetto – IP Diretto (tramite proxy)
Visualizza
IOC (HashSha256) per rilevare: Sfruttamento Attivo della VulnerabilitĂ Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
IOC (SourceIP) per rilevare: Sfruttamento Attivo della VulnerabilitĂ Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
IOC (DestinationIP) per rilevare: Sfruttamento Attivo della VulnerabilitĂ Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
Rilevamento dell’Esecuzione di PowerShell tramite cmd.exe con Codifica Base64 [Windows Powershell]
Visualizza
Potenziale Esecuzione di Codice Remota tramite Processo di Lavoro IIS con PowerShell [Creazione Processo Windows]
Visualizza
Richiesta GET Crittografata per web.config in Gladinet CentreStack [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria & Baseline deve essere stato superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione dell’Attacco & Comandi:
Un attaccante, dopo aver identificato l’istanza di Gladinet CentreStack, elabora un payload crittografato che si conforma al formato di query vulnerabile. Usando un client web legittimo (ad es.,
curlo PowerShellInvoke-WebRequest), l’attaccante emette una richiesta GET all’endpoint nascosto/storage/filesvr.dncon il token crittografato che, una volta decrittografato dal server, si risolve in una richiesta perweb.config. La richiesta è indistinguibile dal traffico normale a livello di protocollo, ma il modello cifrato unico è catturato dalla regola di rilevamento. -
Script di Test di Regressione:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simulare Richiesta GET crittografata per web.config di Gladinet CentreStack # ------------------------------------------------------------ # Server Target (sostituire con effettivo hostname/IP) TARGET="http://target-server.example.com" # Uno dei payload crittografati conosciuti dalla regola (esempio) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Emettere la richiesta curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandi di Pulizia:
# Non sono state effettuate modifiche persistenti all'obiettivo; è stato generato solo traffico di rete. # Se è stata avviata una regola firewall temporanea o una cattura di rete per il test, rimuoverla: # Esempio: arrestare tcpdump (Linux) o rimuovere filtro WinPcap (Windows) # sudo pkill -f tcpdump