Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники активно експлуатують слабку криптографію в Gladinet CentreStack та Triofox. Ланцюг використовує жорстко закодовані AES ключі для отримання файлу web.config, після чого переходить до атак на десериалізацію ViewState. У двох інцидентах, помічених 15 грудня, PowerShell, доставлений через процес IIS worker, був використаний для завантаження та виконання шкідливого бінарника під назвою conqueror.exe. Активність потенційно пов’язана з групою здирників cl0p.
Розслідування
Huntress зафіксувала запуск PowerShell від w3wp.exe, який викликав базе64-кодований пейлоад для отримання conqueror.exe з 185.196.11.207. Виконуваний файл було збережено в C:UsersPublicconqueror.exe і запущено для перелічування хоста. Подальша поведінка включала запит curl до того ж сервера та використання quser.exe для отримання списку активних сесій. Ідентифікатор події 1316 також зафіксував спроби експлуатації з 146.70.134.50, пов’язані з CVE-2025-30406.
Пом’якшення
Gladinet випустила версію 16.12.10420.56791, що обертає статичні криптографічні ключі та виправляє вразливість десериалізації ViewState. Організації повинні оновити версію якомога швидше та обернути існуючі значення machineKey, щоб анулювати попереднє впровадження. Перегляньте веб-журнали на наявність шифрованого рядка запиту “vghpI7EToZUDIZDdprSubL3mTZ2” для виявлення розвідки або експлуатації. Додатково зменшіть ризик, відключивши непотрібні обробники IIS та застосовуючи строгі перевірки введення.
Реакція
Спрямовуйте на PowerShell з пейлоадами base64, що виходять з w3wp.exe, та на створення або виконання C:UsersPublicconqueror.exe. Ізолюйте уражені хости, збережіть дані IIS та телеметрії кінцевих точок і заблокуйте вихідний трафік до зловмисних IP та URL-адрес, зазначених раніше. Перевірте цілісність web.config, негайно оберніть машинні ключі та проведіть судову перевірку усіх систем CentreStack/Triofox для визначення впливу та видалення артефактів.
graph TB %% Class definitions classDef action fill:#99ccff classDef data fill:#ffeb99 classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#c2f0c2 classDef network fill:#d9b3ff %% Nodes action_exploit_public_facing[“<b>Дія</b> – <b>T1190 Експлуатація публічно доступного застосунку</b><br/><b>Опис</b>: Експлуатує вразливість десеріалізації ViewState у Gladinet CentreStack/Triofox для отримання web.config.”] class action_exploit_public_facing action data_webconfig[“<b>Дані</b> – web.config<br/><b>Містить</b>: Статичний machineKey (AES-ключ та IV).”] class data_webconfig data action_data_from_config[“<b>Дія</b> – <b>T1602 Отримання даних із репозиторію конфігурації</b><br/><b>Опис</b>: Витягує статичний machineKey із web.config.”] class action_data_from_config action action_obfuscation[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/><b>Опис</b>: Використовує жорстко закодовані ключі та PowerShell у Base64 для приховування шкідливої активності.”] class action_obfuscation action process_w3wp[“<b>Процес</b> – w3wp.exe (робочий процес IIS)”] class process_w3wp process action_indirect_exec[“<b>Дія</b> – <b>T1202 Непряме виконання команд</b><br/><b>Опис</b>: w3wp.exe запускає cmd.exe, який виконує PowerShell.”] class action_indirect_exec action process_cmd[“<b>Процес</b> – cmd.exe”] class process_cmd process action_powershell[“<b>Дія</b> – <b>T1059.001 PowerShell</b><br/><b>Опис</b>: Виконує PowerShell у Base64, який завантажує conqueror.exe.”] class action_powershell action tool_powershell[“<b>Інструмент</b> – PowerShell”] class tool_powershell tool file_conqueror[“<b>Файл</b> – C:\\Users\\Public\\conqueror.exe”] class file_conqueror file action_data_encoding[“<b>Дія</b> – <b>T1132 Кодування даних</b><br/><b>Опис</b>: Передає PowerShell-пейлоад у Base64 для обходу виявлення.”] class action_data_encoding action action_file_discovery[“<b>Дія</b> – <b>T1083 Виявлення файлів і директорій</b><br/><b>Опис</b>: Використовує quser.exe та перелічує директорію Huntress та інші шляхи.”] class action_file_discovery action tool_quser[“<b>Інструмент</b> – quser.exe”] class tool_quser tool action_remote_service[“<b>Дія</b> – <b>T1210 Експлуатація віддалених сервісів</b><br/><b>Опис</b>: Завантажує пейлоад з 185.196.11.207:8000 через HTTP.”] class action_remote_service action network_endpoint[“<b>Мережа</b> – 185.196.11.207:8000”] class network_endpoint network %% Connections action_exploit_public_facing –>|leads_to| data_webconfig data_webconfig –>|enables| action_data_from_config action_data_from_config –>|leads_to| action_obfuscation action_obfuscation –>|used_by| process_w3wp process_w3wp –>|executes| action_indirect_exec action_indirect_exec –>|spawns| process_cmd process_cmd –>|executes| action_powershell action_powershell –>|uses| tool_powershell action_powershell –>|produces| file_conqueror action_powershell –>|relies_on| action_data_encoding action_data_encoding –>|applies_to| action_powershell action_powershell –>|triggers| action_remote_service action_remote_service –>|connects_to| network_endpoint action_remote_service –>|downloads| file_conqueror action_powershell –>|calls| action_file_discovery action_file_discovery –>|uses| tool_quser
Потік атаки
Детекції
Підозріла поведінка серверу Microsoft IIS (через cmdline)
Перегляд
Можливе вразливе місце на веб-сервері або веб-застосунку [Windows] (через cmdline)
Перегляд
Підозрілі файли в загальнодоступному профілі користувача (через file_event)
Перегляд
Підозріле виконання з загальнодоступного профілю користувача (через process_creation)
Перегляд
Завантаження або вивантаження через PowerShell (через cmdline)
Перегляд
Підозріле завантаження файлу через прямий IP (через proxy)
Перегляд
IOCs (HashSha256) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
IOCs (SourceIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
IOCs (DestinationIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
Виявлення виконання PowerShell через cmd.exe з кодуванням Base64 [Windows Powershell]
Перегляд
Можливе віддалене виконання коду через IIS Worker Process з PowerShell [Windows Process Creation]
Перегляд
Шифрований GET запит для web.config в Gladinet CentreStack [Webserver]
Перегляд
Емулювання виконання
Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила детекції. Команди та наратив обов’язково мають відображати виявлені TTP і спрямовані на генерацію точної телеметрії, очікуваної за логікою детекції. Абстрактні або несуміжні приклади призведуть до помилкового діагностування.
-
Наратив атаки та команди:
Зловмисник, виявивши інстанцію Gladinet CentreStack, створює зашифрований пейлоад, що відповідає вразливому формату запиту. Використовуючи легітимного веб-клієнта (наприклад,
curlабо PowerShellInvoke-WebRequest), зловмисник видає GET запит до прихованої кінцевої точки/storage/filesvr.dnз зашифрованим токеном, який при дешифруванні сервером вирішується як запит наweb.config. Запит є невиразним від нормального трафіку на рівні протоколу, але унікальний шаблон шифротексту зафіксовано правилом детекції. -
Скрипт регресійного тестування:
#!/usr/bin/env bash # ------------------------------------------------------------ # Симуляція зашифрованого GET запиту для web.config Gladinet CentreStack # ------------------------------------------------------------ # Сервер призначення (замінити на фактичне ім'я хоста/IP) TARGET="http://target-server.example.com" # Один із відомих зашифрованих пейлоадів у правилі (приклад) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Видача запиту curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Команди очищення:
# Жодних постійних змін до цілі здійснено не було; було створено лише мережевий трафік. # Якщо під час тестування було запущене тимчасове правило брандмауера або захоплення мережі, видаліть його: # Приклад: зупинка tcpdump (Linux) або видалення фільтра WinPcap (Windows) # sudo pkill -f tcpdump