フォローする 
概要
Cisco Talosは、埋め込まれた demo.pdb 文字列を特徴とするBadIISマルウェアの亜種を特定し、複数の中国語を話すサイバー犯罪者によって使用されているマルウェア・アズ・ア・サービスのエコシステムにリンクしました。このマルウェアは、SEO操作、悪意のあるトラフィックのリダイレクション、検索エンジンクローラーのためのリバースプロキシ、バックリンクインジェクションをサポートするためにMicrosoft IISサーバーを標的としています。オペレーターは、Nortonなどの特定のアンチウイルス製品に対する回避オプションを含むカスタム構成をサポートするモジュラービルダーを通じてデプロイメントをカスタマイズできます。Talosは、少なくとも2021年9月から2026年初めにかけて世界中でこの活動を観測しました。
調査
Talosは、PDBパス、ビルダーコンポーネント、認証ロジックを調べ、マルウェアの開発履歴と運用モデルを再構築しました。研究者は、特定のビルダーが構成ファイル、JavaScriptリダイレクタ、PHPバックリンクペイロードを作成し、コマンド・アンド・コントロールアドレスを単一バイトのXORキーでエンコードすることを発見しました。 0x3。マルウェアは、応答文字列 lwxat をチェックして自らをC2に認証し、データ処理にはカスタムBase64スキームを使用します。Talosは、同じコードベースと設計パターンを共有する関連サービスインストーラーやドロッパーツールも発見しました。
緩和策
ClamAVとSnortは、このBadIISファミリーのシグネチャベースの検出を提供します。防御者は、カスタムユーザーエージェント lwxatisme とWindowsサービス名 Winloginを監視し、早期警報の指標として使用する必要があります。IISの強化には、未承認のサービスのインストールを制限し、IISモジュールの登録を監査し、既知の悪意のあるインフラストラクチャへのアウトバウンドトラフィックをブロックすることが含まれます。最新のBadIIS亜種を含むアンチウイルスシグネチャを最新に保つことで、さらなる曝露を減らすことができます。
対応
BadIISの活動が発見された場合、対応者は影響を受けたIISサーバーを隔離し、悪意のあるWindowsサービスを停止する必要があります。構成ファイルとPDBアーティファクトを収集し、使用中の正確なビルド亜種を特定するためにレビューする必要があります。関連するコマンド・アンド・コントロールドメインまたはIPアドレスをブロックし、正当なIISモジュールを復元できるように侵害されたDLLを削除する必要があります。また、検出更新情報を信頼できる業界の仲間と共有し、広範な防御カバレッジを向上させる必要があります。
graph TB %% クラス定義 classDef action fill:#99ccff %% ノード定義 initial_access[“<b>技術</b> – <b>T1659 コンテンツインジェクション</b><br/><b>説明</b>: 攻撃者は正規のWebリソースに悪意あるコンテンツを注入し、初期アクセスを獲得する。”] class initial_access action persistence[“<b>技術</b> – <b>T1036 マスカレード</b><br/><b>説明</b>: IIS globalModulesを改変し、悪性DLLを正規コンポーネントに偽装して永続化と防御回避を実現する。”] class persistence action defacement[“<b>技術</b> – <b>T1491 ディフェースメント</b><br/><b>説明</b>: Webページに悪意あるコンテンツを注入し、表示内容を改ざんして攻撃者のメッセージを表示する。”] class defacement action c2[“<b>技術</b> – <b>T1659 コンテンツインジェクション</b><br/><b>説明</b>: C2チャネル。ビルダーは文字列 \”lwxat\” を使用して認証し、設定データを取得する。”] class c2 action execution[“<b>技術</b> – <b>T1204.001 ユーザー実行: 悪性リンク</b><br/><b>説明</b>: 改ざんされたリンクを通じて悪性JavaScriptリダイレクトおよびPHPバックリンクスクリプトを配信し、被害者が実行する。”] class execution action impact_resource[“<b>技術</b> – <b>T1496 リソースハイジャック</b><br/><b>説明</b>: SEOスパム注入とバックリンク操作を利用してリソースを盗用し、不正収益を生成する。”] class impact_resource action impact_bandwidth[“<b>技術</b> – <b>T1496.002 帯域幅ハイジャック</b><br/><b>説明</b>: リバースプロキシを介してトラフィックをリダイレクトし、帯域幅を乗っ取り検索クローラへ悪性ペイロードを配信する。”] class impact_bandwidth action %% フロー initial_access –>|次へ| persistence persistence –>|次へ| defacement defacement –>|次へ| c2 c2 –>|次へ| execution execution –>|次へ| impact_resource impact_resource –>|次へ| impact_bandwidth
攻撃フロー
シミュレーション実行
前提条件: テレメトリーとベースラインの事前飛行チェックが合格している必要があります。
理由: このセクションでは、検出ルールを引き起こすように設計された敵対者の技術の正確な実行について詳述しています。コマンドや説明は、検出ロジックが期待するテレメトリーを直接生成します。
-
攻撃の説明とコマンド:
制限されたユーザー権限を得た攻撃者は、悪意のあるDLLバンドルを侵害ホストにコピーします。このバンドルには、BadIISサンプルで歴史的に使用されてきた場所に配置された3つのPDBファイルが含まれています。これらのファイルを作成することで、攻撃者はSigmaルールが監視するフォレンジックアーティファクトを残します。攻撃者は標準的なCopy-Item(PowerShell)を使用してファイルをドロップし、追加のツールシグネチャを避けます。 -
回帰テストスクリプト:
# BadIIS PDBパスシミュレーション – Sigmaルールを引き起こす $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { おぅ = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "BadIIS PDBファイルが作成されました – 検出が作動するはずです。" -
クリーンアップコマンド:
# シミュレーションされたBadIIS PDBファイルおよびディレクトリを削除する $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "クリーンアップ完了。"