Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores maliciosos están explotando activamente criptografías débiles en Gladinet CentreStack y Triofox. La cadena aprovecha claves AES codificadas para recuperar el archivo web.config y luego se pasa a ataques de deserialización de ViewState. En dos incidentes observados el 15 de diciembre, PowerShell entregado a través del proceso de trabajo de IIS se utilizó para descargar y ejecutar un binario malicioso llamado conqueror.exe. La actividad está potencialmente vinculada al grupo de ransomware cl0p.
Investigación
Huntress registró que PowerShell generado por w3wp.exe invocó una carga útil codificada en base64 para obtener conqueror.exe desde 185.196.11.207. El ejecutable se guardó en C:UsersPublicconqueror.exe y se ejecutó para enumeración del host. El comportamiento posterior incluyó una solicitud curl al mismo servidor y el uso de quser.exe para listar sesiones activas. El ID de evento 1316 también capturó intentos de explotación desde 146.70.134.50 asociado con CVE-2025-30406.
Mitigación
Gladinet lanzó la versión 16.12.10420.56791, rotando claves criptográficas estáticas y corrigiendo la debilidad de deserialización de ViewState. Las organizaciones deben actualizar de inmediato y rotar los valores existentes de machineKey para invalidar la exposición previa. Revise los registros web en busca de la cadena de consulta cifrada «vghpI7EToZUDIZDdprSubL3mTZ2» para identificar sondas o explotación. Reduzca aún más el riesgo deshabilitando controladores IIS innecesarios y aplicando una estricta validación de entradas.
Respuesta
Alerta sobre PowerShell con cargas útiles base64 originadas de w3wp.exe y sobre la creación o ejecución de C:UsersPublicconqueror.exe. Aísle los hosts afectados, preserve la telemetría de IIS y del endpoint, y bloquee el tráfico saliente hacia las IPs y URLs maliciosas citadas. Verifique la integridad de web.config, rote las claves de máquina inmediatamente y realice una revisión forense de todos los sistemas CentreStack/Triofox para determinar el impacto y eliminar artefactos.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[«<b>Acción</b> – <b>T1190 Explotación de Aplicación de Cara Pública</b><br/><b>Descripción</b>: Explota una vulnerabilidad de deserialización de ViewState en Gladinet CentreStack/Triofox para obtener web.config.»] class action_exploit_public_facing action data_webconfig[«<b>Datos</b> – web.config<br/><b>Contiene</b>: machineKey estático (clave AES e IV).»] class data_webconfig data action_data_from_config[«<b>Acción</b> – <b>T1602 Datos desde Repositorio de Configuración</b><br/><b>Descripción</b>: Extrae el machineKey estático desde web.config.»] class action_data_from_config action action_obfuscation[«<b>Acción</b> – <b>T1027 Archivos o Información Ofuscados</b><br/><b>Descripción</b>: Usa claves codificadas y PowerShell codificado en Base64 para ocultar actividad maliciosa.»] class action_obfuscation action process_w3wp[«<b>Proceso</b> – w3wp.exe (worker de IIS)»] class process_w3wp process action_indirect_exec[«<b>Acción</b> – <b>T1202 Ejecución Indirecta de Comandos</b><br/><b>Descripción</b>: w3wp.exe lanza cmd.exe, que ejecuta PowerShell.»] class action_indirect_exec action process_cmd[«<b>Proceso</b> – cmd.exe»] class process_cmd process action_powershell[«<b>Acción</b> – <b>T1059.001 PowerShell</b><br/><b>Descripción</b>: Ejecuta PowerShell codificado en Base64 que descarga conqueror.exe.»] class action_powershell action tool_powershell[«<b>Herramienta</b> – PowerShell»] class tool_powershell tool file_conqueror[«<b>Archivo</b> – C:\\Users\\Public\\conqueror.exe»] class file_conqueror file action_data_encoding[«<b>Acción</b> – <b>T1132 Codificación de Datos</b><br/><b>Descripción</b>: Transmite la carga útil de PowerShell en Base64 para evadir detección.»] class action_data_encoding action action_file_discovery[«<b>Acción</b> – <b>T1083 Descubrimiento de Archivos y Directorios</b><br/><b>Descripción</b>: Usa quser.exe y enumera el directorio Huntress y otras rutas.»] class action_file_discovery action tool_quser[«<b>Herramienta</b> – quser.exe»] class tool_quser tool action_remote_service[«<b>Acción</b> – <b>T1210 Explotación de Servicios Remotos</b><br/><b>Descripción</b>: Descarga la carga útil desde 185.196.11.207:8000 vía HTTP.»] class action_remote_service action network_endpoint[«<b>Red</b> – 185.196.11.207:8000»] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Flujo de ataque
Detecciones
Comportamiento sospechoso del servidor Microsoft IIS (via cmdline)
Visualizar
Posible explotación del servidor web o aplicación web [Windows] (via cmdline)
Visualizar
Archivos sospechosos en el perfil de usuario público (via file_event)
Visualizar
Ejecución sospechosa desde el perfil de usuario público (via process_creation)
Visualizar
Descarga o carga via Powershell (via cmdline)
Visualizar
Descarga sospechosa de archivos IP directa (via proxy)
Visualizar
IOCs (HashSha256) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
IOCs (SourceIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
IOCs (DestinationIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
Detección de Ejecución de PowerShell via cmd.exe con Codificación Base64 [Windows Powershell]
Visualizar
Posible Ejecución de Código Remoto a través del Proceso de Trabajo de IIS con PowerShell [Creación de Procesos Windows]
Visualizar
Petición GET cifrada para web.config en Gladinet CentreStack [Servidor web]
Visualizar
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a diagnósticos erróneos.
-
Narrativa y Comandos de Ataque:
Un atacante, habiendo identificado la instancia de Gladinet CentreStack, crea una carga cifrada que se ajusta al formato de consulta vulnerable. Usando un cliente web legítimo (por ejemplo,
curlo PowerShellInvoke-WebRequest), el atacante realiza una solicitud GET al punto final oculto/storage/filesvr.dncon el token cifrado que, al ser descifrado por el servidor, resuelve en una solicitud paraweb.config. La solicitud es indistinguible del tráfico normal a nivel de protocolo, pero el patrón único de texto cifrado es capturado por la regla de detección. -
Script de Prueba de Regresión:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simular solicitud GET cifrada para web.config en Gladinet CentreStack # ------------------------------------------------------------ # Servidor objetivo (reemplazar con hostname/IP real) TARGET="http://target-server.example.com" # Una de las cargas cifradas conocidas de la regla (ejemplo) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Realizar la solicitud curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandos de Limpieza:
# No se hicieron cambios persistentes en el objetivo; solo se generó tráfico de red. # Si se inició una regla de firewall temporal o captura de red para la prueba, elimínela: # Ejemplo: detener tcpdump (Linux) o eliminar filtro WinPcap (Windows) # sudo pkill -f tcpdump