SOC Prime Bias: Kritisch

29 Dec 2025 09:55 UTC

Aktive Ausnutzung der unsicheren Kryptographie-Schwachstelle in Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Aktive Ausnutzung der unsicheren Kryptographie-Schwachstelle in Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure nutzen aktiv schwache Kryptographie in Gladinet CentreStack und Triofox aus. Die Kette verwendet fest codierte AES-Schlüssel, um die web.config-Datei abzurufen und dann zu ViewState-Deserialisierungsangriffen überzugehen. In zwei Vorfällen am 15. Dezember wurde PowerShell über den IIS-Arbeitsprozess verwendet, um eine bösartige Binärdatei namens conqueror.exe herunterzuladen und auszuführen. Die Aktivität ist möglicherweise mit der Cl0p Ransomware-Gruppe verbunden.

Untersuchung

Huntress zeichnete PowerShell auf, die von w3wp.exe gestartet wurde und eine base64-codierte Nutzlast aufrief, um conqueror.exe von 185.196.11.207 abzurufen. Die ausführbare Datei wurde in C:UsersPublicconqueror.exe gespeichert und zur Host-Aufzählung ausgeführt. Folgeverhalten umfasste eine Curl-Anfrage an denselben Server und die Verwendung von quser.exe, um aktive Sitzungen aufzulisten. Auch die Ereignis-ID 1316 erfasste Ausnutzungsversuche von 146.70.134.50 im Zusammenhang mit CVE-2025-30406.

Abschwächung

Gladinet veröffentlichte Version 16.12.10420.56791 und drehte statische kryptographische Schlüssel sowie die Behebung der ViewState-Deserialisierungsschwäche. Organisationen sollten sofort upgraden und bestehende machineKey-Werte ändern, um frühere Expositionen zu ungültig zu machen. Überprüfen Sie Web-Protokolle auf die verschlüsselte Abfragezeichenkette „vghpI7EToZUDIZDdprSubL3mTZ2“, um Sondierungs- oder Ausnutzungsversuche zu identifizieren. Reduzieren Sie das Risiko weiter, indem Sie unnötige IIS-Handler deaktivieren und strikte Eingabevalidierung erzwingen.

Antwort

Alarmieren Sie bei PowerShell mit Base64-Nutzlasten ausgehend von w3wp.exe sowie bei Erstellung oder Ausführung von C:UsersPublicconqueror.exe. Isolieren Sie betroffene Hosts, bewahren Sie IIS- und Endpunkt-Telemetrie auf und blockieren Sie ausgehenden Datenverkehr zu den genannten bösartigen IPs und URLs. Überprüfen Sie die Integrität von web.config, ändern Sie maschinelle Schlüssel sofort und führen Sie eine forensische Überprüfung aller CentreStack/Triofox-Systeme durch, um die Auswirkungen zu erfassen und Artefakte zu entfernen.

Angriffsfluss

Erkennungen

Verdächtiges Verhalten des Microsoft IIS-Servers (über cmdline)

SOC Prime Team
23. Dezember 2025

Mögliche Ausnutzung von Webserver oder WebApp [Windows] (via cmdline)

SOC Prime Team
23. Dezember 2025

Verdächtige Dateien im öffentlichen Benutzerprofil (über file_event)

SOC Prime Team
23. Dezember 2025

Verdächtige Ausführung aus öffentlichem Benutzerprofil (über process_creation)

SOC Prime Team
23. Dezember 2025

Download oder Upload via PowerShell (über cmdline)

SOC Prime Team
23. Dezember 2025

Verdächtiger Dateidownload direkte IP (über Proxy)

SOC Prime Team
23. Dezember 2025

IOCs (HashSha256) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox

SOC Prime AI Regeln
23. Dezember 2025

IOCs (SourceIP) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox

SOC Prime AI Regeln
23. Dezember 2025

IOCs (DestinationIP) zur Erkennung: Aktive Ausnutzung der unsicheren Kryptographieschwachstelle von Gladinet CentreStack/Triofox

SOC Prime AI Regeln
23. Dezember 2025

Erkennung der PowerShell-Ausführung über cmd.exe mit Base64-Kodierung [Windows PowerShell]

SOC Prime AI Regeln
23. Dezember 2025

Potenzielle Remote-Code-Ausführung über IIS-Arbeitsprozess mit PowerShell [Windows Process Creation]

SOC Prime AI Regeln
23. Dezember 2025

Verschlüsselter GET-Request für web.config in Gladinet CentreStack [Webserver]

SOC Prime AI Regeln
23. Dezember 2025

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinientest muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu dient, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriff-Narrativ & Befehle:

    Ein Angreifer, der die Gladinet CentreStack-Instanz identifiziert hat, erstellt eine verschlüsselte Nutzlast, die dem anfälligen Abfrageformat entspricht. Unter Verwendung eines legitimen Webclients (z.B. curl oder PowerShell Invoke-WebRequest), gibt der Angreifer eine GET-Anfrage an den verborgenen Endpunkt /storage/filesvr.dn mit dem verschlüsselten Token heraus, das, wenn es vom Server entschlüsselt wird, zu einer Anfrage für web.configführt. Die Anfrage ist auf Protokollebene nicht von normalem Datenverkehr zu unterscheiden, aber das einzigartige Chiffremuster wird von der Erkennungsregel erfasst.

  • Regressionstest-Skript:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Simuliere verschlüsselte GET-Anfrage für Gladinet CentreStack web.config
    # ------------------------------------------------------------
    
    # Zielserver (mit tatsächlichem Hostname/IP ersetzen)
    TARGET="http://target-server.example.com"
    
    # Einer der bekannten verschlüsselten Nutzlasten aus der Regel (Beispiel)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Anfrage ausführen
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Bereinigungskommandos:

    # Es wurden keine dauerhaften Änderungen am Ziel vorgenommen; nur Netzwerkverkehr wurde erzeugt.
    # Wenn eine temporäre Firewall-Regel oder ein Netzwerkmitschnitt für den Test gestartet wurde, entfernen Sie diese:
    
    # Beispiel: tcpdump stoppen (Linux) oder WinPcap-Filter entfernen (Windows)
    # sudo pkill -f tcpdump