Активна експлуатація вразливості небезпечної криптографії у Gladinet CentreStack/Triofox
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники активно експлуатують слабку криптографію в Gladinet CentreStack та Triofox. Ланцюг використовує жорстко закодовані AES ключі для отримання файлу web.config, після чого переходить до атак на десериалізацію ViewState. У двох інцидентах, помічених 15 грудня, PowerShell, доставлений через процес IIS worker, був використаний для завантаження та виконання шкідливого бінарника під назвою conqueror.exe. Активність потенційно пов’язана з групою здирників cl0p.
Розслідування
Huntress зафіксувала запуск PowerShell від w3wp.exe, який викликав базе64-кодований пейлоад для отримання conqueror.exe з 185.196.11.207. Виконуваний файл було збережено в C:UsersPublicconqueror.exe і запущено для перелічування хоста. Подальша поведінка включала запит curl до того ж сервера та використання quser.exe для отримання списку активних сесій. Ідентифікатор події 1316 також зафіксував спроби експлуатації з 146.70.134.50, пов’язані з CVE-2025-30406.
Пом’якшення
Gladinet випустила версію 16.12.10420.56791, що обертає статичні криптографічні ключі та виправляє вразливість десериалізації ViewState. Організації повинні оновити версію якомога швидше та обернути існуючі значення machineKey, щоб анулювати попереднє впровадження. Перегляньте веб-журнали на наявність шифрованого рядка запиту “vghpI7EToZUDIZDdprSubL3mTZ2” для виявлення розвідки або експлуатації. Додатково зменшіть ризик, відключивши непотрібні обробники IIS та застосовуючи строгі перевірки введення.
Реакція
Спрямовуйте на PowerShell з пейлоадами base64, що виходять з w3wp.exe, та на створення або виконання C:UsersPublicconqueror.exe. Ізолюйте уражені хости, збережіть дані IIS та телеметрії кінцевих точок і заблокуйте вихідний трафік до зловмисних IP та URL-адрес, зазначених раніше. Перевірте цілісність web.config, негайно оберніть машинні ключі та проведіть судову перевірку усіх систем CentreStack/Triofox для визначення впливу та видалення артефактів.
Потік атаки
Детекції
Підозріла поведінка серверу Microsoft IIS (через cmdline)
Перегляд
Можливе вразливе місце на веб-сервері або веб-застосунку [Windows] (через cmdline)
Перегляд
Підозрілі файли в загальнодоступному профілі користувача (через file_event)
Перегляд
Підозріле виконання з загальнодоступного профілю користувача (через process_creation)
Перегляд
Завантаження або вивантаження через PowerShell (через cmdline)
Перегляд
Підозріле завантаження файлу через прямий IP (через proxy)
Перегляд
IOCs (HashSha256) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
IOCs (SourceIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
IOCs (DestinationIP) для виявлення: Активна експлуатація небезпечної криптографії у Gladinet CentreStack/Triofox
Перегляд
Виявлення виконання PowerShell через cmd.exe з кодуванням Base64 [Windows Powershell]
Перегляд
Можливе віддалене виконання коду через IIS Worker Process з PowerShell [Windows Process Creation]
Перегляд
Шифрований GET запит для web.config в Gladinet CentreStack [Webserver]
Перегляд
Емулювання виконання
Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила детекції. Команди та наратив обов’язково мають відображати виявлені TTP і спрямовані на генерацію точної телеметрії, очікуваної за логікою детекції. Абстрактні або несуміжні приклади призведуть до помилкового діагностування.
-
Наратив атаки та команди:
Зловмисник, виявивши інстанцію Gladinet CentreStack, створює зашифрований пейлоад, що відповідає вразливому формату запиту. Використовуючи легітимного веб-клієнта (наприклад,
curlабо PowerShellInvoke-WebRequest), зловмисник видає GET запит до прихованої кінцевої точки/storage/filesvr.dnз зашифрованим токеном, який при дешифруванні сервером вирішується як запит наweb.config. Запит є невиразним від нормального трафіку на рівні протоколу, але унікальний шаблон шифротексту зафіксовано правилом детекції. -
Скрипт регресійного тестування:
#!/usr/bin/env bash # ------------------------------------------------------------ # Симуляція зашифрованого GET запиту для web.config Gladinet CentreStack # ------------------------------------------------------------ # Сервер призначення (замінити на фактичне ім'я хоста/IP) TARGET="http://target-server.example.com" # Один із відомих зашифрованих пейлоадів у правилі (приклад) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Видача запиту curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Команди очищення:
# Жодних постійних змін до цілі здійснено не було; було створено лише мережевий трафік. # Якщо під час тестування було запущене тимчасове правило брандмауера або захоплення мережі, видаліть його: # Приклад: зупинка tcpdump (Linux) або видалення фільтра WinPcap (Windows) # sudo pkill -f tcpdump