Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Cisco Talos ha identificato una variante di malware BadIIS caratterizzata da demo.pdb stringhe incorporate e la ha collegata a un ecosistema malware-as-a-service utilizzato da più attori criminali informatici di lingua cinese. Il malware prende di mira i server Microsoft IIS per supportare la manipolazione SEO, il reindirizzamento del traffico dannoso, il proxy inverso per i crawler dei motori di ricerca e l’iniezione di backlink. Gli operatori possono personalizzare le distribuzioni tramite un generatore modulare che supporta configurazioni su misura, comprese le opzioni di evasione per specifici prodotti antivirus come Norton. Talos ha osservato questa attività a livello mondiale almeno da settembre 2021 fino all’inizio del 2026.
Indagine
Talos ha esaminato i percorsi PDB, i componenti del generatore e la logica di autenticazione per ricostruire la storia dello sviluppo e il modello operativo del malware. I ricercatori hanno rilevato che un generatore dedicato crea file di configurazione, redirector JavaScript e payload di backlink PHP, mentre codifica gli indirizzi di comando e controllo con una chiave XOR a singolo byte di 0x3. Il malware si autentica al suo C2 verificando la stringa di risposta lwxat e utilizza uno schema Base64 personalizzato per la gestione dei dati. Talos ha anche scoperto installatori di servizi correlati e strumenti dropper che condividevano la stessa base di codice e modelli di design.
Mitigazione
ClamAV e Snort forniscono rilevamenti basati su firme per questa famiglia BadIIS. I difensori dovrebbero monitorare il custom user-agent lwxatisme e il nome del servizio Windows Winlogin, poiché entrambi possono servire come indicatori di avviso precoce. Il rafforzamento di IIS dovrebbe includere la restrizione dell’installazione di servizi non approvati, l’audit delle registrazioni dei moduli IIS e il blocco del traffico in uscita verso infrastrutture malevole conosciute. Mantenere aggiornate le firme antivirus con le ultime varianti di BadIIS può inoltre ridurre l’esposizione.
Risposta
Se viene scoperta un’attività di BadIIS, i rispondenti dovrebbero isolare il server IIS compromesso e interrompere il servizio Windows dannoso. I file di configurazione e gli artefatti PDB dovrebbero essere raccolti e analizzati per determinare la variante di build esatta in uso. I domini o gli indirizzi IP di comando e controllo associati dovrebbero essere bloccati e le DLL compromesse dovrebbero essere rimosse affinché i moduli IIS legittimi possano essere ripristinati. Gli aggiornamenti di rilevamento dovrebbero anche essere condivisi con colleghi di fiducia del settore per migliorare la copertura difensiva generale.
graph TB %% Definizioni classi classDef action fill:#99ccff %% Nodi initial_access[“<b>Tecnica</b> – <b>T1659 Content Injection</b><br/><b>Descrizione</b>: L’attaccante inietta contenuti malevoli in risorse web legittime per ottenere accesso iniziale.”] class initial_access action persistence[“<b>Tecnica</b> – <b>T1036 Masquerading</b><br/><b>Descrizione</b>: Modifica globalModules di IIS per caricare DLL malevoli, mascherandole come componenti legittimi per persistenza ed evasione.”] class persistence action defacement[“<b>Tecnica</b> – <b>T1491 Defacement</b><br/><b>Descrizione</b>: Iniezione di contenuti malevoli nelle pagine web per alterarne l’aspetto e mostrare messaggi controllati dall’attaccante.”] class defacement action c2[“<b>Tecnica</b> – <b>T1659 Content Injection</b><br/><b>Descrizione</b>: Canale C2 in cui il builder si autentica con la stringa \”lwxat\” e recupera dati di configurazione.”] class c2 action execution[“<b>Tecnica</b> – <b>T1204.001 Esecuzione utente: link malevolo</b><br/><b>Descrizione</b>: Distribuzione di redirect JavaScript malevoli e script PHP tramite backlink via link manipolati eseguiti dalla vittima.”] class execution action impact_resource[“<b>Tecnica</b> – <b>T1496 Resource Hijacking</b><br/><b>Descrizione</b>: Uso di SEO injection e manipolazione backlink per sottrarre risorse e generare profitto illecito.”] class impact_resource action impact_bandwidth[“<b>Tecnica</b> – <b>T1496.002 Bandwidth Hijacking</b><br/><b>Descrizione</b>: Reindirizzamento traffico tramite reverse proxy per sottrarre banda e servire payload malevoli ai crawler.”] class impact_bandwidth action %% Flusso initial_access –>|porta a| persistence persistence –>|porta a| defacement defacement –>|porta a| c2 c2 –>|porta a| execution execution –>|porta a| impact_resource impact_resource –>|porta a| impact_bandwidth
Flusso di Attacco
Rilevamenti
Attività AppCmd Sospetta (tramite cmdline)
Visualizza
Possibile Servizio Windows Aggiunto Manualmente Ad Autostart (tramite cmdline)
Visualizza
Esecuzione dei Processi di Sistema da Percorsi Insoliti (tramite process_creation)
Visualizza
Rilevamento del Malware BadIIS con User-Agent Personalizzato [Proxy]
Visualizza
Rilevamento del Percorso PDB di BadIIS [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere superato.
Razionale: Questa sezione descrive l’esecuzione esatta della tecnica avversaria progettata per attivare la regola di rilevamento. I comandi e la narrativa producono direttamente la telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Un attaccante che ha ottenuto diritti utente limitati copia un bundle DLL dannoso sull’host compromesso. Il bundle include tre file PDB posizionati in luoghi storicamente utilizzati dagli esempi di BadIIS. Creando questi file, l’attaccante lascia un artefatto forense che la regola Sigma osserva. L’attaccante utilizza lo standardCopy-Item(PowerShell) per rilasciare i file, evitando firme di strumenti aggiuntivi. -
Script di Test di Regressione:
# Simulazione Percorso PDB di BadIIS – attiva la regola Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "File PDB di BadIIS creati – il rilevamento dovrebbe attivarsi." -
Comandi di Pulizia:
# Rimuove i file PDB di simulazione BadIIS e le directory $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Pulizia completata."