SOC Prime Bias: Critique

29 Dec 2025 09:55 UTC

Exploitation Active de la Vulnérabilité de Cryptographie Non Sécurisée de Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Exploitation Active de la Vulnérabilité de Cryptographie Non Sécurisée de Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs de la menace exploitent activement la cryptographie faible dans Gladinet CentreStack et Triofox. La chaîne utilise des clés AES codées en dur pour récupérer le fichier web.config puis pivote vers des attaques de désérialisation ViewState. Lors de deux incidents observés le 15 décembre, PowerShell livré via le processus de travail IIS a été utilisé pour télécharger et exécuter un binaire malveillant nommé conqueror.exe. L’activité est potentiellement liée au groupe de ransomware cl0p.

Enquête

Huntress a enregistré le lancement de PowerShell par w3wp.exe qui a invoqué une charge utile encodée en base64 pour récupérer conqueror.exe depuis 185.196.11.207. L’exécutable a été enregistré dans C:UsersPublicconqueror.exe et exécuté pour l’énumération de l’hôte. Le comportement ultérieur comprenait une requête curl vers le même serveur et l’utilisation de quser.exe pour lister les sessions actives. L’ID d’événement 1316 a également capturé des tentatives d’exploitation provenant de 146.70.134.50 associées à CVE-2025-30406.

Atténuation

Gladinet a publié la version 16.12.10420.56791, tournant les clés cryptographiques statiques et corrigeant la faiblesse de désérialisation ViewState. Les organisations doivent passer à cette version rapidement et tourner les valeurs machineKey existantes pour invalider l’exposition antérieure. Examinez les journaux Web pour la chaîne de requête chiffrée « vghpI7EToZUDIZDdprSubL3mTZ2 » pour identifier des sondeurs ou exploitations. Réduisez davantage le risque en désactivant les gestionnaires IIS inutiles et en appliquant une validation stricte des entrées.

Réponse

Alertez sur PowerShell avec des charges utiles en base64 provenant de w3wp.exe et sur la création ou exécution de C:UsersPublicconqueror.exe. Isolez les hôtes affectés, préservez la télémétrie IIS et des endpoints, et bloquez le trafic sortant vers les IPs et URLs malveillants cités. Vérifiez l’intégrité de web.config, changez immédiatement les clés machine, et réalisez un examen médico-légal de tous les systèmes CentreStack/Triofox pour évaluer l’impact et retirer les artefacts.

Flux d’attaque

Détections

Comportement suspect du serveur Microsoft IIS (via cmdline)

Équipe SOC Prime
23 déc. 2025

Exploitation possible du serveur Web ou de l’application Web [Windows] (via cmdline)

Équipe SOC Prime
23 déc. 2025

Fichiers suspects dans le profil utilisateur public (via file_event)

Équipe SOC Prime
23 déc. 2025

Exécution suspecte à partir du profil utilisateur public (via process_creation)

Équipe SOC Prime
23 déc. 2025

Téléchargement ou envoi via Powershell (via cmdline)

Équipe SOC Prime
23 déc. 2025

Téléchargement de fichier suspect IP directe (via proxy)

Équipe SOC Prime
23 déc. 2025

IOCs (HashSha256) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox

Règles AI SOC Prime
23 déc. 2025

IOCs (SourceIP) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox

Règles AI SOC Prime
23 déc. 2025

IOCs (DestinationIP) pour détecter : Exploitation active de la vulnérabilité de cryptographie non sécurisée de Gladinet CentreStack/Triofox

Règles AI SOC Prime
23 déc. 2025

Détection de l’exécution de PowerShell via cmd.exe avec encodage Base64 [Windows Powershell]

Règles AI SOC Prime
23 déc. 2025

Exécution de code à distance potentielle via le processus de travail IIS avec PowerShell [Création de processus Windows]

Règles AI SOC Prime
23 déc. 2025

Requête GET chiffrée pour web.config dans Gladinet CentreStack [Serveur Web]

Règles AI SOC Prime
23 déc. 2025

Exécution de simulation

Prérequis : Le contrôle préalable de la télémétrie & du baseline doit avoir réussi.

Justification: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à des erreurs de diagnostic.

  • Narratif & Commandes de l’Attaque :

    Un attaquant, après avoir identifié l’instance Gladinet CentreStack, confectionne une charge utile chiffrée conforme au format de demande vulnérable. En utilisant un client Web légitime (par exemple, curl ou PowerShell Invoke-WebRequest), l’attaquant émet une requête GET vers le point de terminaison caché /storage/filesvr.dn avec le jeton chiffré qui, une fois déchiffré par le serveur, se résout en une requête pour web.config. La demande est indiscernable du trafic normal au niveau du protocole, mais le modèle unique de texte chiffré est capturé par la règle de détection.

  • Script de test de régression :

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Simuler la requête GET chiffrée pour Gladinet CentreStack web.config
    # ------------------------------------------------------------
    
    # Serveur cible (remplacez par le nom d'hôte/IP réel)
    TARGET="http://target-server.example.com"
    
    # Une des charges utiles chiffrées connues de la règle (exemple)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Émettre la requête
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Commandes de nettoyage :

    # Aucun changement persistant n'a été apporté à la cible; seul le trafic réseau a été généré.
    # Si une règle de pare-feu temporaire ou une capture réseau a été commencée pour le test, enlevez-la :
    
    # Exemple : arrêter tcpdump (Linux) ou retirer le filtre WinPcap (Windows)
    # sudo pkill -f tcpdump