Dai PDB Strings a MaaS: Tracciare un Ecosistema Commodity BadIIS
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Cisco Talos ha identificato una variante di malware BadIIS caratterizzata da demo.pdb stringhe incorporate e la ha collegata a un ecosistema malware-as-a-service utilizzato da più attori criminali informatici di lingua cinese. Il malware prende di mira i server Microsoft IIS per supportare la manipolazione SEO, il reindirizzamento del traffico dannoso, il proxy inverso per i crawler dei motori di ricerca e l’iniezione di backlink. Gli operatori possono personalizzare le distribuzioni tramite un generatore modulare che supporta configurazioni su misura, comprese le opzioni di evasione per specifici prodotti antivirus come Norton. Talos ha osservato questa attività a livello mondiale almeno da settembre 2021 fino all’inizio del 2026.
Indagine
Talos ha esaminato i percorsi PDB, i componenti del generatore e la logica di autenticazione per ricostruire la storia dello sviluppo e il modello operativo del malware. I ricercatori hanno rilevato che un generatore dedicato crea file di configurazione, redirector JavaScript e payload di backlink PHP, mentre codifica gli indirizzi di comando e controllo con una chiave XOR a singolo byte di 0x3. Il malware si autentica al suo C2 verificando la stringa di risposta lwxat e utilizza uno schema Base64 personalizzato per la gestione dei dati. Talos ha anche scoperto installatori di servizi correlati e strumenti dropper che condividevano la stessa base di codice e modelli di design.
Mitigazione
ClamAV e Snort forniscono rilevamenti basati su firme per questa famiglia BadIIS. I difensori dovrebbero monitorare il custom user-agent lwxatisme e il nome del servizio Windows Winlogin, poiché entrambi possono servire come indicatori di avviso precoce. Il rafforzamento di IIS dovrebbe includere la restrizione dell’installazione di servizi non approvati, l’audit delle registrazioni dei moduli IIS e il blocco del traffico in uscita verso infrastrutture malevole conosciute. Mantenere aggiornate le firme antivirus con le ultime varianti di BadIIS può inoltre ridurre l’esposizione.
Risposta
Se viene scoperta un’attività di BadIIS, i rispondenti dovrebbero isolare il server IIS compromesso e interrompere il servizio Windows dannoso. I file di configurazione e gli artefatti PDB dovrebbero essere raccolti e analizzati per determinare la variante di build esatta in uso. I domini o gli indirizzi IP di comando e controllo associati dovrebbero essere bloccati e le DLL compromesse dovrebbero essere rimosse affinché i moduli IIS legittimi possano essere ripristinati. Gli aggiornamenti di rilevamento dovrebbero anche essere condivisi con colleghi di fiducia del settore per migliorare la copertura difensiva generale.
Flusso di Attacco
Rilevamenti
Attività AppCmd Sospetta (tramite cmdline)
Visualizza
Possibile Servizio Windows Aggiunto Manualmente Ad Autostart (tramite cmdline)
Visualizza
Esecuzione dei Processi di Sistema da Percorsi Insoliti (tramite process_creation)
Visualizza
Rilevamento del Malware BadIIS con User-Agent Personalizzato [Proxy]
Visualizza
Rilevamento del Percorso PDB di BadIIS [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere superato.
Razionale: Questa sezione descrive l’esecuzione esatta della tecnica avversaria progettata per attivare la regola di rilevamento. I comandi e la narrativa producono direttamente la telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Un attaccante che ha ottenuto diritti utente limitati copia un bundle DLL dannoso sull’host compromesso. Il bundle include tre file PDB posizionati in luoghi storicamente utilizzati dagli esempi di BadIIS. Creando questi file, l’attaccante lascia un artefatto forense che la regola Sigma osserva. L’attaccante utilizza lo standardCopy-Item(PowerShell) per rilasciare i file, evitando firme di strumenti aggiuntivi. -
Script di Test di Regressione:
# Simulazione Percorso PDB di BadIIS – attiva la regola Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "File PDB di BadIIS creati – il rilevamento dovrebbe attivarsi." -
Comandi di Pulizia:
# Rimuove i file PDB di simulazione BadIIS e le directory $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Pulizia completata."