Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão ativamente explorando criptografia fraca no Gladinet CentreStack e Triofox. A cadeia utiliza chaves AES codificadas para recuperar o arquivo web.config e, em seguida, muda para ataques de desserialização do ViewState. Em dois incidentes observados em 15 de dezembro, o PowerShell entregue via processo de trabalho do IIS foi usado para baixar e executar um binário malicioso chamado conqueror.exe. A atividade está potencialmente ligada ao grupo de ransomware cl0p.
Investigação
A Huntress registrou PowerShell iniciado por w3wp.exe que invocou uma carga útil codificada em base64 para buscar conqueror.exe de 185.196.11.207. O executável foi salvo em C:UsersPublicconqueror.exe e executado para enumeração de host. O comportamento subsequente incluiu uma solicitação curl para o mesmo servidor e uso do quser.exe para listar sessões ativas. O ID do Evento 1316 também capturou tentativas de exploração de 146.70.134.50 associadas ao CVE-2025-30406.
Mitigação
A Gladinet lançou a versão 16.12.10420.56791, girando chaves criptográficas estáticas e corrigindo a fraqueza de desserialização do ViewState. As organizações devem atualizar prontamente e girar os valores machineKey existentes para invalidar exposições anteriores. Reveja os logs da web para a string de consulta criptografada “vghpI7EToZUDIZDdprSubL3mTZ2” para identificar sondagens ou explorações. Reduza ainda mais o risco desabilitando manipuladores IIS desnecessários e impondo validação de entrada rigorosa.
Resposta
Alerta sobre PowerShell com cargas úteis base64 originadas de w3wp.exe e na criação ou execução de C:UsersPublicconqueror.exe. Isole hosts afetados, preserve a telemetria do IIS e do endpoint, e bloqueie o tráfego externo para os IPs e URLs maliciosos citados. Verifique a integridade de web.config, gire as chaves da máquina imediatamente e conduza uma análise forense de todos os sistemas CentreStack/Triofox para verificar o impacto e remover artefatos.
Fluxo de ataque
Detecções
Comportamento Suspeito do Servidor IIS da Microsoft (via linha de comando)
Visualizar
Possível Exploração de Servidor Web ou WebApp [Windows] (via linha de comando)
Visualizar
Arquivos Suspeitos no Perfil Público de Usuário (via evento de arquivo)
Visualizar
Execução Suspeita do Perfil Público de Usuário (via criação de processo)
Visualizar
Download ou Upload via Powershell (via linha de comando)
Visualizar
Download de Arquivo Suspeito IP Direto (via proxy)
Visualizar
IOCs (HashSha256) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
IOCs (SourceIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
IOCs (DestinationIP) para detectar: Exploração Ativa da Vulnerabilidade de Criptografia Insegura do Gladinet CentreStack/Triofox
Visualizar
Detecção de Execução de PowerShell via cmd.exe com Codificação Base64 [Windows PowerShell]
Visualizar
Possível Execução Remota de Código via Processo de Trabalho do IIS com PowerShell [Criação de Processo do Windows]
Visualizar
Pedido GET Criptografado para web.config no Gladinet CentreStack [Servidor Web]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Base de Referência deve ter sido aprovada.
Motivo: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visarem gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa e Comandos do Ataque:
Um atacante, após identificar a instância do Gladinet CentreStack, cria uma carga útil criptografada que segue o formato de consulta vulnerável. Usando um cliente web legítimo (por exemplo,
curlou PowerShellInvoke-WebRequest), o atacante emite uma requisição GET para o endpoint oculto/storage/filesvr.dncom o token criptografado que, quando decifrado pelo servidor, resolve para uma solicitação porweb.config. A requisição é indistinguível do tráfego normal a nível de protocolo, mas o padrão de cifra único é capturado pela regra de detecção. -
Script de Teste de Regressão:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simula requisição GET criptografada para web.config do Gladinet CentreStack # ------------------------------------------------------------ # Servidor alvo (substitua por nome de host/IP real) TARGET="http://target-server.example.com" # Uma das cargas úteis criptografadas conhecidas pela regra (exemplo) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Emite a requisição curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandos de Limpeza:
# Nenhuma alteração persistente foi feita no alvo; apenas tráfego de rede foi gerado. # Se uma regra de firewall temporária ou captura de rede foi iniciada para o teste, remova-a: # Exemplo: parar tcpdump (Linux) ou remover filtro WinPcap (Windows) # sudo pkill -f tcpdump