Gladinet CentreStack/Triofoxの不安定な暗号脆弱性のアクティブな悪用
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Threat actors are actively exploiting weak cryptography in Gladinet CentreStack and Triofox. The chain leverages hard-coded AES keys to retrieve the web.config file and then pivots to ViewState deserialization attacks. In two incidents observed on December 15, PowerShell delivered via the IIS worker process was used to download and execute a malicious binary named conqueror.exe. The activity is potentially linked to the cl0p ransomware group.
調査
Huntress recorded PowerShell spawned by w3wp.exe that invoked a base64-encoded payload to fetch conqueror.exe from 185.196.11.207. The executable was saved to C:UsersPublicconqueror.exe and run for host enumeration. Follow-on behavior included a curl request to the same server and use of quser.exe to list active sessions. Event ID 1316 also captured exploitation attempts from 146.70.134.50 associated with CVE-2025-30406.
緩和策
Gladinet released version 16.12.10420.56791, rotating static cryptographic keys and patching the ViewState deserialization weakness. Organizations should upgrade promptly and rotate existing machineKey values to invalidate prior exposure. Review web logs for the encrypted query string “vghpI7EToZUDIZDdprSubL3mTZ2” to identify probing or exploitation. Further reduce risk by disabling unnecessary IIS handlers and enforcing strict input validation.
対応策
Alert on PowerShell with base64 payloads originating from w3wp.exe and on creation or execution of C:UsersPublicconqueror.exe. Isolate affected hosts, preserve IIS and endpoint telemetry, and block outbound traffic to the malicious IPs and URLs cited. Verify web.config integrity, rotate machine keys immediately, and conduct a forensic review of all CentreStack/Triofox systems to scope impact and remove artifacts.
攻撃フロー
検出
疑わしいMicrosoft IISサーバーの動作(cmdline経由)
表示
可能性のあるWebサーバーまたはWebアプリケーションの悪用[Windows](cmdline経由)
表示
公開ユーザープロファイルでの疑わしいファイル(file_event経由)
表示
公開ユーザープロファイルからの疑わしい実行(process_creation経由)
表示
PowerShellでのダウンロードまたはアップロード(cmdline経由)
表示
疑わしいファイルダウンロード直接IP(プロキシ経由)
表示
IOCs (HashSha256)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用
表示
IOCs (SourceIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用
表示
IOCs (DestinationIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用
表示
Base64 エンコーディング付きの cmd.exe 経由の PowerShell 実行を検出[Windows PowerShell]
表示
PowerShellを利用したIISワーカープロセスによる潜在的なリモートコード実行[Windowsプロセス作成]
表示
Gladinet CentreStackのweb.configの暗号化されたGETリクエスト[Webサーバー]
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプリフライトチェックが成功している必要があります。
理由: このセクションは、検出ルールをトリガーするために設計された攻撃者技術(TTP)の正確な実行を詳述しています。 コマンドと説明は、TTPに直接反映されなければならず、検出ロジックが予期する正確なテレメトリを生成することを目指しています。 抽象的または無関係な例は、誤診につながります。
-
攻撃の概要とコマンド:
攻撃者がGladinet CentreStackインスタンスを特定した後、脆弱なクエリ形式に従う暗号化されたペイロードを作成します。 正当なWebクライアントを使用して(
curlまたはPowerShellInvoke-WebRequest)、攻撃者は暗号化されたトークンを含むGETリクエストを 隠されたエンドポイントに発行します。/storage/filesvr.dnサーバーによって復号化されるとweb.configに対するリクエストに解決されます。そのリクエストはプロトコルレベルでは通常のトラフィックと区別がつきませんが、独自の暗号文パターンは検出ルールによってキャプチャされます。 -
回帰テストスクリプト:
#!/usr/bin/env bash # ------------------------------------------------------------ # Gladinet CentreStack web.configの暗号化されたGETリクエストをシミュレート # ------------------------------------------------------------ # 対象サーバー(実際のホスト名/IPで置き換え) TARGET="http://target-server.example.com" # ルールからの既知の暗号化されたペイロードの一つ(例) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # リクエストを発行 curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
クリーンアップコマンド:
# ターゲットに永続的な変更は加えられませんでした。生成されたのはネットワークトラフィックのみです。 # テストのために一時的なファイアウォールルールまたはネットワークキャプチャを開始した場合、それを削除する: # 例: tcpdumpを停止 (Linux) または WinPcap フィルターを削除 (Windows) # sudo pkill -f tcpdump