Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Cisco Talos визначили варіант шкідливого ПЗ BadIIS, що характеризується вбудованим demo.pdb рядки та пов’язали його з еко-системою шкідливого ПЗ як послуги, яку використовують численні китайськомовні кіберзлочинці. Шкідливе ПЗ націлено на сервери Microsoft IIS, щоб підтримувати маніпуляцію SEO, перенаправлення шкідливого трафіку, зворотнє проксі для пошукових двигунів і вприскування зворотних посилань. Оператори можуть налаштовувати розгортання через модульний конструктор, який підтримує цільові конфігурації, включаючи опції обходу для певних антивірусних продуктів, таких як Norton. Talos спостерігали цю активність по всьому світу принаймні з вересня 2021 до початку 2026 року.
Розслідування
Talos досліджували шляхи PDB, компоненти конструктора та логіку автентифікації, щоб відновити історію розробки шкідливого ПЗ та його операційну модель. Дослідники виявили, що спеціальний конструктор створює файли конфігурації, JavaScript-перенаправники та PHP-пейлоади зворотних посилань, при цьому кодує адреси команд і контролю за допомогою одно-байтового XOR ключа 0x3. Шкідливе ПЗ автентифікує на своєму C2, перевіряючи рядок відповіді lwxat і використовує індивідуальну схему Base64 для обробки даних. Talos також виявили пов’язані установники сервісу та інструменти-дропери, які поділяли ту саму кодову базу та дизайн.
Мітигація
ClamAV і Snort надають сигнатурні детекції для цього сімейства BadIIS. Захисники мають моніторити користувацький агент lwxatisme і назву сервісу Windows Winlogin, оскільки обидва можуть служити ранніми індикаторами попередження. Укріплення IIS повинно включати обмеження установки непередбачених сервісів, аудит реєстрацій модулів IIS та блокування вихідного трафіку до відомої шкідливої інфраструктури. Підтримання антивірусних сигнатур оновленими відповідно до останніх варіантів BadIIS може знизити експозицію.
Реакція
Якщо виявлено активність BadIIS, реагуючі повинні ізолювати уражений сервер IIS та зупинити шкідливий Windows сервіс. Файли конфігурації та артефакти PDB повинні бути зібрані та переглянуті для визначення точного варіанту збірки. Пов’язані домени або IP адреси команд і контролю повинні бути заблоковані, а скомпрометовані DLL видалені, щоби відновити легітимні модулі IIS. Оновлення детекцій слід поділитися з довіреними галузевими колегами для поліпшення ширшого захисного покриття.
graph TB %% Визначення класів classDef action fill:#99ccff %% Вузли initial_access[“<b>Техніка</b> – <b>T1659 Впровадження контенту</b><br/><b>Опис</b>: Зловмисник впроваджує шкідливий контент у легітимні вебресурси для отримання початкового доступу.”] class initial_access action persistence[“<b>Техніка</b> – <b>T1036 Маскування</b><br/><b>Опис</b>: Зміна globalModules IIS для завантаження шкідливих DLL, замаскованих під легітимні компоненти для закріплення та обходу захисту.”] class persistence action defacement[“<b>Техніка</b> – <b>T1491 Дефейсинг</b><br/><b>Опис</b>: Впровадження шкідливого контенту у вебсторінки для зміни їх вигляду та відображення повідомлень атакувальника.”] class defacement action c2[“<b>Техніка</b> – <b>T1659 Впровадження контенту</b><br/><b>Опис</b>: C2 канал, де білдер автентифікується рядком \”lwxat\” і отримує конфігураційні дані.”] class c2 action execution[“<b>Техніка</b> – <b>T1204.001 Виконання користувачем: шкідливе посилання</b><br/><b>Опис</b>: Доставка шкідливих JavaScript-редиректів і PHP backlink-скриптів через підроблені посилання, які виконує жертва.”] class execution action impact_resource[“<b>Техніка</b> – <b>T1496 Викрадення ресурсів</b><br/><b>Опис</b>: Використання SEO-ін’єкцій і маніпуляції беклінками для викрадення ресурсів і отримання незаконного прибутку.”] class impact_resource action impact_bandwidth[“<b>Техніка</b> – <b>T1496.002 Викрадення пропускної здатності</b><br/><b>Опис</b>: Перенаправлення трафіку через reverse proxy для викрадення пропускної здатності та обслуговування шкідливих payloads для crawler’ів.”] class impact_bandwidth action %% Потік initial_access –>|веде до| persistence persistence –>|веде до| defacement defacement –>|веде до| c2 c2 –>|веде до| execution execution –>|веде до| impact_resource impact_resource –>|веде до| impact_bandwidth
Потік атаки
Детекції
Підозріла активність AppCmd (через командний рядок)
Переглянути
Можливе ручне додавання сервісу Windows в автозапуск (через командний рядок)
Переглянути
Виконання системних процесів з нетипових шляхів (через процес створення)
Переглянути
Виявлення шкідливого ПЗ BadIIS з користувацьким агентом [Proxy]
Переглянути
Виявлення шляху PDB BadIIS [Подія Windows файлу]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна пройти.
Мотивація: У цьому розділі детально описується точне виконання техніки противника, призначеної для спрацьовування правила виявлення. Команди та наратив безпосередньо підтверджують телеметрію, яка очікується за логікою виявлення.
-
Наратив атаки та команди:
Зловмисник, що отримав обмежені права користувача, копіює шкідливі DLL на скомпрометований вузол. Пакет включає три файли PDB, розміщені в місцях, історично використовуваних зразками BadIIS. Створюючи ці файли, злочинець залишає судову артефакту, яку стежать правила Sigma. Атакуючий використовує стандартнийCopy-Item(PowerShell) для скидання файлів, уникаючи додаткових сигнатур інструменту. -
Скрипт регресійного тесту:
# Симуляція шляху PDB BadIIS – викликає правило Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "Файли PDB BadIIS створені – виявлення повинно спрацювати." -
Команди прибирання:
# Видалити імітовані файли та каталоги PDB BadIIS $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Очищення завершено."