SOC Prime Bias: 중간

22 May 2026 12:54 UTC

PDB 문자열에서 MaaS로: 상용 BadIIS 생태계 추적

Author Photo
SOC Prime Team linkedin icon 팔로우
PDB 문자열에서 MaaS로: 상용 BadIIS 생태계 추적
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Cisco Talos는 BadIIS 멀웨어 변종을 식별하고 demo.pdb 문자열이 포함된 변종이 여러 중국어 사용 사이버 범죄자에 의해 사용되는 멀웨어 애즈 어 서비스 생태계와 연결되어 있음을 발견했습니다. 멀웨어는 Microsoft IIS 서버를 대상으로 하여 SEO 조작, 악성 트래픽 리디렉션, 검색 엔진 크롤러를 위한 리버스 프록시, 백링크 주입을 지원합니다. 운영자는 Norton과 같은 특정 안티바이러스 제품에 대한 회피 옵션을 포함한 맞춤형 구성을 지원하는 모듈형 빌더를 통해 배포를 맞춤화할 수 있습니다. Talos는 2021년 9월부터 2026년 초까지 전 세계적으로 이 활동을 관찰했습니다.

조사

Talos는 PDB 경로, 빌더 구성 요소, 인증 로직을 조사하여 멀웨어의 개발 역사와 운영 모델을 재구성했습니다. 연구진은 전용 빌더가 구성 파일, JavaScript 리디렉터, PHP 백링크 페이로드를 생성하고 단일 바이트 XOR 키로 명령 및 제어 주소를 인코딩한다는 사실을 발견했습니다. 0x3. 멀웨어는 lwxat 응답 문자열을 확인하여 C2에 인증하고 데이터 처리를 위해 사용자 지정 Base64 스키마를 사용합니다. Talos는 동일한 코드 기반과 디자인 패턴을 공유하는 관련 서비스 설치 프로그램 및 드로퍼 도구도 발견했습니다.

완화

ClamAV 및 Snort는 이 BadIIS 패밀리를 위한 서명 기반 탐지를 제공합니다. 방어자는 사용자 지정 사용자 에이전트 lwxatisme 및 Windows 서비스 이름 Winlogin, 둘 다 초기 경고 지표로 사용될 수 있으므로 모니터링해야 합니다. IIS 강화에는 승인되지 않은 서비스 설치 제한, IIS 모듈 등록 감사, 알려진 악성 인프라에 대한 아웃바운드 트래픽 차단이 포함되어야 합니다. 최신 BadIIS 변종을 사용하여 안티바이러스 서명을 최신 상태로 유지하면 노출을 더욱 줄일 수 있습니다.

대응

BadIIS 활동이 발견된 경우, 대응자는 영향을 받은 IIS 서버를 격리하고 악성 Windows 서비스를 중지해야 합니다. 구성 파일 및 PDB 아티팩트를 수집하여 사용 중인 정확한 빌드 변종을 확인해야 합니다. 연관된 명령 제어 도메인 또는 IP 주소는 차단해야 하고 손상된 DLL을 제거하여 합법적인 IIS 모듈이 복원될 수 있도록 해야 합니다. 탐지 업데이트는 신뢰할 수 있는 업계 동료와 공유하여 더 넓은 방어 범위를 향상시킬 필요가 있습니다.

공격 흐름

시뮬레이션 실행

사전 준비: 텔레메트리 및 기준선 사전 점검이 통과해야 함.

합리적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 탐지 로직이 예상하는 텔레메트리를 직접 생성합니다.

  • 공격 내러티브 & 명령:
    제한된 사용자 권한을 획득한 공격자는 손상된 호스트에 악성 DLL 번들을 복사합니다. 번들은 역사적으로 BadIIS 샘플에서 사용된 위치에 세 개의 PDB 파일을 포함합니다. 이 파일을 생성함으로써 공격자는 Sigma 규칙이 감시하는 포렌식 아티팩트를 남깁니다. 공격자는 표준 Copy-Item (PowerShell)을 사용하여 파일을 내려, 추가 도구 서명을 회피합니다.

  • 회귀 테스트 스크립트:

    # BadIIS PDB 경로 시뮬레이션 – Sigma 규칙 트리거
    $paths = @(
        "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb",
        "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb",
        "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb"
    )
    foreach ($p in $paths) {
        $dir = Split-Path $p -Parent
        if (-not (Test-Path $dir)) {
            New-Item -Path $dir -ItemType Directory -Force | Out-Null
        }
        New-Item -Path $p -ItemType File -Force | Out-Null
    }
    Write-Host "BadIIS PDB 파일이 생성되었습니다 – 탐지가 발생해야 합니다."
  • 정리 명령:

    # 시뮬레이션된 BadIIS PDB 파일 및 디렉토리 제거
    $paths = @(
        "C:UsersAdministratorDesktop2021-09-30",
        "C:UsersAdministratorDesktopdll-no503",
        "C:UsersAdministratorDesktop兼용百度浏览器+劫持robots.txt"
    )
    foreach ($base in $paths) {
        if (Test-Path $base) {
            Remove-Item -Path $base -Recurse -Force
        }
    }
    Write-Host "정리가 완료되었습니다."