SOC Prime Bias: Crítico

29 Dec 2025 09:55 UTC

Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaça estão ativamente explorando criptografia fraca no Gladinet CentreStack e Triofox. A cadeia utiliza chaves AES codificadas para recuperar o arquivo web.config e, em seguida, muda para ataques de desserialização do ViewState. Em dois incidentes observados em 15 de dezembro, o PowerShell entregue via processo de trabalho do IIS foi usado para baixar e executar um binário malicioso chamado conqueror.exe. A atividade está potencialmente ligada ao grupo de ransomware cl0p.

Investigação

A Huntress registrou PowerShell iniciado por w3wp.exe que invocou uma carga útil codificada em base64 para buscar conqueror.exe de 185.196.11.207. O executável foi salvo em C:UsersPublicconqueror.exe e executado para enumeração de host. O comportamento subsequente incluiu uma solicitação curl para o mesmo servidor e uso do quser.exe para listar sessões ativas. O ID do Evento 1316 também capturou tentativas de exploração de 146.70.134.50 associadas ao CVE-2025-30406.

Mitigação

A Gladinet lançou a versão 16.12.10420.56791, girando chaves criptográficas estáticas e corrigindo a fraqueza de desserialização do ViewState. As organizações devem atualizar prontamente e girar os valores machineKey existentes para invalidar exposições anteriores. Reveja os logs da web para a string de consulta criptografada “vghpI7EToZUDIZDdprSubL3mTZ2” para identificar sondagens ou explorações. Reduza ainda mais o risco desabilitando manipuladores IIS desnecessários e impondo validação de entrada rigorosa.

Resposta

Alerta sobre PowerShell com cargas úteis base64 originadas de w3wp.exe e na criação ou execução de C:UsersPublicconqueror.exe. Isole hosts afetados, preserve a telemetria do IIS e do endpoint, e bloqueie o tráfego externo para os IPs e URLs maliciosos citados. Verifique a integridade de web.config, gire as chaves da máquina imediatamente e conduza uma análise forense de todos os sistemas CentreStack/Triofox para verificar o impacto e remover artefatos.

Fluxo de ataque

Detecções

Comportamento Suspeito do Servidor IIS da Microsoft (via linha de comando)

Equipe SOC Prime
23 Dez 2025

Possível Exploração de Servidor Web ou WebApp [Windows] (via linha de comando)

Equipe SOC Prime
23 Dez 2025

Arquivos Suspeitos no Perfil Público de Usuário (via evento de arquivo)

Equipe SOC Prime
23 Dez 2025

Execução Suspeita do Perfil Público de Usuário (via criação de processo)

Equipe SOC Prime
23 Dez 2025

Download ou Upload via Powershell (via linha de comando)

Equipe SOC Prime
23 Dez 2025

Download de Arquivo Suspeito IP Direto (via proxy)

Equipe SOC Prime
23 Dez 2025

IOCs (HashSha256) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox

Regras de IA do SOC Prime
23 Dez 2025

IOCs (SourceIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox

Regras de IA do SOC Prime
23 Dez 2025

IOCs (DestinationIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox

Regras de IA do SOC Prime
23 Dez 2025

Detecção de Execução de PowerShell via cmd.exe com Codificação Base64 [Windows PowerShell]

Regras de IA do SOC Prime
23 Dez 2025

Possível Execução Remota de Código via Processo de Trabalho do IIS com PowerShell [Criação de Processo do Windows]

Regras de IA do SOC Prime
23 Dez 2025

Pedido GET Criptografado para web.config no Gladinet CentreStack [Servidor Web]

Regras de IA do SOC Prime
23 Dez 2025

Execução de Simulação

Pré-requisito: A Verificação de Telemetria & Base de Referência deve ter sido aprovada.

Motivo: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visarem gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa e Comandos do Ataque:

    Um atacante, após identificar a instância do Gladinet CentreStack, cria uma carga útil criptografada que segue o formato de consulta vulnerável. Usando um cliente web legítimo (por exemplo, curl ou PowerShell Invoke-WebRequest), o atacante emite uma requisição GET para o endpoint oculto /storage/filesvr.dn com o token criptografado que, quando decifrado pelo servidor, resolve para uma solicitação por web.config. A requisição é indistinguível do tráfego normal a nível de protocolo, mas o padrão de cifra único é capturado pela regra de detecção.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Simula requisição GET criptografada para web.config do Gladinet CentreStack
    # ------------------------------------------------------------
    
    # Servidor alvo (substitua por nome de host/IP real)
    TARGET="http://target-server.example.com"
    
    # Uma das cargas úteis criptografadas conhecidas pela regra (exemplo)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # Emite a requisição
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • Comandos de Limpeza:

    # Nenhuma alteração persistente foi feita no alvo; apenas tráfego de rede foi gerado.
    # Se uma regra de firewall temporária ou captura de rede foi iniciada para o teste, remova-a:
    
    # Exemplo: parar tcpdump (Linux) ou remover filtro WinPcap (Windows)
    # sudo pkill -f tcpdump