SOC Prime Bias: Критичний

29 Dec 2025 09:55 UTC

Активна експлуатація вразливості небезпечної криптографії у Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Активна експлуатація вразливості небезпечної криптографії у Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники активно експлуатують слабку криптографію в Gladinet CentreStack та Triofox. Ланцюг використовує жорстко закодовані AES ключі для отримання файлу web.config, після чого переходить до атак на десериалізацію ViewState. У двох інцидентах, помічених 15 грудня, PowerShell, доставлений через процес IIS worker, був використаний для завантаження та виконання шкідливого бінарника під назвою conqueror.exe. Активність потенційно пов’язана з групою здирників cl0p.

Розслідування

Huntress зафіксувала запуск PowerShell від w3wp.exe, який викликав базе64-кодований пейлоад для отримання conqueror.exe з 185.196.11.207. Виконуваний файл було збережено в C:UsersPublicconqueror.exe і запущено для перелічування хоста. Подальша поведінка включала запит curl до того ж сервера та використання quser.exe для отримання списку активних сесій. Ідентифікатор події 1316 також зафіксував спроби експлуатації з 146.70.134.50, пов’язані з CVE-2025-30406.

Пом’якшення

Gladinet випустила версію 16.12.10420.56791, що обертає статичні криптографічні ключі та виправляє вразливість десериалізації ViewState. Організації повинні оновити версію якомога швидше та обернути існуючі значення machineKey, щоб анулювати попереднє впровадження. Перегляньте веб-журнали на наявність шифрованого рядка запиту “vghpI7EToZUDIZDdprSubL3mTZ2” для виявлення розвідки або експлуатації. Додатково зменшіть ризик, відключивши непотрібні обробники IIS та застосовуючи строгі перевірки введення.

Реакція

Спрямовуйте на PowerShell з пейлоадами base64, що виходять з w3wp.exe, та на створення або виконання C:UsersPublicconqueror.exe. Ізолюйте уражені хости, збережіть дані IIS та телеметрії кінцевих точок і заблокуйте вихідний трафік до зловмисних IP та URL-адрес, зазначених раніше. Перевірте цілісність web.config, негайно оберніть машинні ключі та проведіть судову перевірку усіх систем CentreStack/Triofox для визначення впливу та видалення артефактів.

Потік атаки

Детекції

Підозріла поведінка серверу Microsoft IIS (через cmdline)

Команда SOC Prime
23 грудня 2025

Можливе вразливе місце на веб-сервері або веб-застосунку [Windows] (через cmdline)

Команда SOC Prime
23 грудня 2025

Підозрілі файли в загальнодоступному профілі користувача (через file_event)

Команда SOC Prime
23 грудня 2025

Підозріле виконання з загальнодоступного профілю користувача (через process_creation)

Команда SOC Prime
23 грудня 2025

Завантаження або вивантаження через PowerShell (через cmdline)

Команда SOC Prime
23 грудня 2025

Підозріле завантаження файлу через прямий IP (через proxy)

Команда SOC Prime
23 грудня 2025

IOCs (HashSha256) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox

Правила AI SOC Prime
23 грудня 2025

IOCs (SourceIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox

Правила AI SOC Prime
23 грудня 2025

IOCs (DestinationIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox

Правила AI SOC Prime
23 грудня 2025

Виявлення виконання PowerShell через cmd.exe з кодуванням Base64 [Windows Powershell]

Правила AI SOC Prime
23 грудня 2025

Можливе віддалене виконання коду через IIS Worker Process з PowerShell [Windows Process Creation]

Правила AI SOC Prime
23 грудня 2025

Шифрований GET запит для web.config в Gladinet CentreStack [Webserver]

Правила AI SOC Prime
23 грудня 2025

Емулювання виконання

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила детекції. Команди та наратив обов’язково мають відображати виявлені TTP і спрямовані на генерацію точної телеметрії, очікуваної за логікою детекції. Абстрактні або несуміжні приклади призведуть до помилкового діагностування.

  • Наратив атаки та команди:

    Зловмисник, виявивши інстанцію Gladinet CentreStack, створює зашифрований пейлоад, що відповідає вразливому формату запиту. Використовуючи легітимного веб-клієнта (наприклад, curl або PowerShell Invoke-WebRequest), зловмисник видає GET запит до прихованої кінцевої точки /storage/filesvr.dn з зашифрованим токеном, який при дешифруванні сервером вирішується як запит на web.config. Запит є невиразним від нормального трафіку на рівні протоколу, але унікальний шаблон шифротексту зафіксовано правилом детекції.

  • Скрипт регресійного тестування:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Симуляція зашифрованого GET запиту для web.config Gladinet CentreStack
    # ------------------------------------------------------------
    
    # Сервер призначення (замінити на фактичне ім'я хоста/IP)
    TARGET="http://target-server.example.com"
    
    # Один із відомих зашифрованих пейлоадів у правилі (приклад)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Видача запиту
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Команди очищення:

    # Жодних постійних змін до цілі здійснено не було; було створено лише мережевий трафік.
    # Якщо під час тестування було запущене тимчасове правило брандмауера або захоплення мережі, видаліть його:
    
    # Приклад: зупинка tcpdump (Linux) або видалення фільтра WinPcap (Windows)
    # sudo pkill -f tcpdump