팔로우
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
위협 행위자는 Gladinet CentreStack 및 Triofox에서 약한 암호화를 적극적으로 악용하고 있습니다. 이 체인은 하드코딩된 AES 키를 사용하여 web.config 파일을 가져온 후 ViewState 역직렬화 공격으로 전환합니다. 12월 15일에 관찰된 두 사건에서 IIS 작업자 프로세스를 통해 전달된 PowerShell이 conqueror.exe라는 악성 이진 파일을 다운로드하고 실행하는 데 사용되었습니다. 이 활동은 cl0p 랜섬웨어 그룹과 연결될 가능성이 있습니다.
조사
Huntress는 conqueror.exe를 185.196.11.207에서 가져오기 위해 base64로 인코딩된 페이로드를 호출한 w3wp.exe에 의해 생성된 PowerShell을 기록했습니다. 이 실행 파일은 C:UsersPublicconqueror.exe에 저장되어 호스트 열거를 위해 실행되었습니다. 후속 동작에는 같은 서버로의 curl 요청과 활성 세션을 나열하기 위한 quser.exe 사용이 포함되었습니다. 이벤트 ID 1316은 CVE-2025-30406과 관련된 146.70.134.50의 악용 시도도 캡처했습니다.
완화
Gladinet는 정적 암호화 키를 변경하고 ViewState 역직렬화 취약점을 수정한 16.12.10420.56791 버전을 출시했습니다. 조직은 신속하게 업그레이드하고 기존 machineKey 값을 회전하여 이전 노출을 무효화해야 합니다. 암호화된 쿼리 문자열 “vghpI7EToZUDIZDdprSubL3mTZ2″를 웹 로그에서 검토하여 프로빙이나 악용 시도를 식별하세요. 불필요한 IIS 핸들러를 비활성화하고 엄격한 입력 검증을 시행하여 위험을 더욱 줄이십시오.
대응
w3wp.exe에서 시작된 base64 페이로드가 포함된 PowerShell과 C:UsersPublicconqueror.exe의 생성 또는 실행에 대한 알림을 설정하세요. 영향을 받은 호스트를 격리하고 IIS 및 엔드포인트 텔레메트리를 보존하며, 악성 IP 및 URL로의 아웃바운드 트래픽을 차단하세요. web.config 무결성을 확인하고, machine key를 즉시 회전시키며, 모든 CentreStack 및 Triofox 시스템에 대한 포렌식 검토를 통해 영향을 범위화하고 아티팩트를 제거하세요.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[“<b>행위</b> – <b>T1190 공개 노출 애플리케이션 악용</b><br/><b>설명</b>: Gladinet CentreStack/Triofox의 ViewState 역직렬화 취약점을 악용하여 web.config를 획득한다.”] class action_exploit_public_facing action data_webconfig[“<b>데이터</b> – web.config<br/><b>포함</b>: 정적 machineKey(AES 키 및 IV).”] class data_webconfig data action_data_from_config[“<b>행위</b> – <b>T1602 구성 저장소로부터 데이터 수집</b><br/><b>설명</b>: web.config에서 정적 machineKey를 추출한다.”] class action_data_from_config action action_obfuscation[“<b>행위</b> – <b>T1027 난독화된 파일 또는 정보</b><br/><b>설명</b>: 하드코딩된 키와 Base64로 인코딩된 PowerShell을 사용해 악성 활동을 은폐한다.”] class action_obfuscation action process_w3wp[“<b>프로세스</b> – w3wp.exe (IIS 워커)”] class process_w3wp process action_indirect_exec[“<b>행위</b> – <b>T1202 간접 명령 실행</b><br/><b>설명</b>: w3wp.exe가 cmd.exe를 실행하고 PowerShell을 구동한다.”] class action_indirect_exec action process_cmd[“<b>프로세스</b> – cmd.exe”] class process_cmd process action_powershell[“<b>행위</b> – <b>T1059.001 PowerShell</b><br/><b>설명</b>: Base64로 인코딩된 PowerShell을 실행하여 conqueror.exe를 다운로드한다.”] class action_powershell action tool_powershell[“<b>도구</b> – PowerShell”] class tool_powershell tool file_conqueror[“<b>파일</b> – C:\\Users\\Public\\conqueror.exe”] class file_conqueror file action_data_encoding[“<b>행위</b> – <b>T1132 데이터 인코딩</b><br/><b>설명</b>: 탐지 회피를 위해 PowerShell 페이로드를 Base64로 전송한다.”] class action_data_encoding action action_file_discovery[“<b>행위</b> – <b>T1083 파일 및 디렉터리 검색</b><br/><b>설명</b>: quser.exe를 사용하고 Huntress 디렉터리 및 기타 경로를 열거한다.”] class action_file_discovery action tool_quser[“<b>도구</b> – quser.exe”] class tool_quser tool action_remote_service[“<b>행위</b> – <b>T1210 원격 서비스 악용</b><br/><b>설명</b>: HTTP를 통해 185.196.11.207:8000에서 페이로드를 다운로드한다.”] class action_remote_service action network_endpoint[“<b>네트워크</b> – 185.196.11.207:8000”] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
공격 흐름
탐지
의심스러운 Microsoft IIS 서버 동작 (cmdline 통해)
보기
가능한 웹 서버 또는 웹 응용 프로그램 악용 [Windows] (cmdline 통해)
보기
공용 사용자 프로필의 의심스러운 파일 (file_event 통해)
보기
공용 사용자 프로필의 의심스러운 실행 (process_creation 통해)
보기
Powershell을 통한 다운로드 또는 업로드 (cmdline 통해)
보기
의심스러운 파일 다운로드 직접 IP (proxy 통해)
보기
탐지를 위한 IOCs (HashSha256): Gladinet CentreStack/Triofox 불안전한 암호화 취약점의 활성 악용
보기
탐지를 위한 IOCs (SourceIP): Gladinet CentreStack/Triofox 불안전한 암호화 취약점의 활성 악용
보기
탐지를 위한 IOCs (DestinationIP): Gladinet CentreStack/Triofox 불안전한 암호화 취약점의 활성 악용
보기
cmd.exe를 통한 PowerShell 실행의 탐지 Base64 인코딩 [Windows Powershell]
보기
IIS 워커 프로세스와 함께 PowerShell의 잠재적 원격 코드 실행 [Windows 프로세스 생성]
보기
Gladinet CentreStack의 web.config에 대한 암호화된 GET 요청 [웹 서버]
보기
시뮬레이션 실행
필수 사전 조건: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예는 오진으로 이어질 것입니다.
-
공격 내러티브 및 명령어:
공격자는 Gladinet CentreStack 인스턴스를 식별한 후 취약한 쿼리 형식에 부합하는 암호화된 페이로드를 제작합니다. 합법적인 웹 클라이언트(e.g.,
curl또는 PowerShellInvoke-WebRequest)를 사용하여 숨겨진 엔드포인트에 GET 요청을 발행합니다/storage/filesvr.dn서버에 의해 복호화되면web.config에 대한 요청으로 해결되는 암호화된 토큰과 함께합니다. 요청은 프로토콜 수준에서 일반 트래픽과 구별되지 않지만 고유한 암호문 패턴이 탐지 규칙에 의해 캡처됩니다. -
회귀 테스트 스크립트:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simulate Encrypted GET request for Gladinet CentreStack web.config # ------------------------------------------------------------ # Target server (replace with actual hostname/IP) TARGET="http://target-server.example.com" # One of the known encrypted payloads from the rule (example) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Issue the request curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
정화 명령:
# 대상의 지속 가능한 변경 사항은 생성되지 않았습니다; 네트워크 트래픽만 생성되었습니다. # 테스트를 위해 임시 방화벽 규칙 또는 네트워크 캡처가 시작된 경우 제거하세요: # 예: tcpdump 중지 (Linux) 또는 WinPcap 필터 제거 (Windows) # sudo pkill -f tcpdump