Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Cisco Talos a identifié une variante de malware BadIIS marquée par des chaînes intégrées demo.pdb et l’a liée à un écosystème de malware-as-a-service utilisé par plusieurs acteurs du cybercrime sinophone. Le malware cible les serveurs Microsoft IIS pour prendre en charge la manipulation SEO, la redirection de trafic malveillant, le proxy inverse pour les crawlers des moteurs de recherche, et l’injection de backlinks. Les opérateurs peuvent personnaliser les déploiements via un générateur modulaire qui prend en charge des configurations sur mesure, y compris des options d’évasion pour des produits antivirus spécifiques tels que Norton. Talos a observé cette activité dans le monde entier d’au moins septembre 2021 jusqu’au début 2026.
Enquête
Talos a examiné les chemins PDB, les composants builder, et la logique d’authentification pour reconstituer l’historique de développement du malware et son modèle opérationnel. Les chercheurs ont découvert qu’un builder dédié crée des fichiers de configuration, des redirections JavaScript, et des payloads de backlinks PHP, tout en encodant les adresses de commande et de contrôle avec une clé XOR à un seul octet 0x3. Le malware s’authentifie à son C2 en vérifiant la chaîne de réponse lwxat et utilise un schéma Base64 personnalisé pour la gestion des données. Talos a également découvert des installateurs de services connexes et des outils de déposant qui partagent la même base de code et les mêmes motifs de conception.
Atténuation
ClamAV et Snort fournissent des détections basées sur des signatures pour cette famille BadIIS. Les défenseurs devraient surveiller l’agent utilisateur personnalisé lwxatisme et le nom de service Windows Winlogin, car tous deux peuvent servir d’indicateurs précoces d’alerte. Le durcissement des IIS devrait inclure la restriction de l’installation de services non approuvés, l’audit des enregistrements de modules IIS, et le blocage du trafic sortant vers des infrastructures malveillantes connues. Mettre à jour les signatures antivirus avec les dernières variantes de BadIIS peut encore réduire l’exposition.
Réponse
Si une activité BadIIS est découverte, les répondants doivent isoler le serveur IIS affecté et arrêter le service Windows malveillant. Les fichiers de configuration et les artefacts PDB doivent être collectés et examinés pour déterminer la variante exacte en cours d’utilisation. Les domaines ou adresses IP de commande et de contrôle associés doivent être bloqués, et les DLL compromises doivent être supprimées pour que les modules IIS légitimes puissent être restaurés. Les mises à jour de détection devraient également être partagées avec des pairs de l’industrie de confiance pour améliorer la couverture défensive globale.
graph TB %% Définitions des classes classDef action fill:#99ccff %% Nœuds initial_access[« <b>Technique</b> – <b>T1659 Injection de contenu</b><br/><b>Description</b>: L’attaquant injecte du contenu malveillant dans des ressources web légitimes afin d’obtenir un accès initial. »] class initial_access action persistence[« <b>Technique</b> – <b>T1036 Masquage</b><br/><b>Description</b>: Modification des globalModules IIS pour charger des DLL malveillantes, déguisées en composants légitimes afin d’assurer la persistance et l’évasion. »] class persistence action defacement[« <b>Technique</b> – <b>T1491 Défiguration</b><br/><b>Description</b>: Injection de contenu malveillant dans des pages web pour en altérer l’apparence et afficher des messages contrôlés par l’attaquant. »] class defacement action c2[« <b>Technique</b> – <b>T1659 Injection de contenu</b><br/><b>Description</b>: Canal C2 où le builder s’authentifie avec la chaîne \ »lwxat\ » et récupère des données de configuration. »] class c2 action execution[« <b>Technique</b> – <b>T1204.001 Exécution utilisateur : lien malveillant</b><br/><b>Description</b>: Distribution de redirections JavaScript malveillantes et de scripts PHP de backlinks via des liens manipulés exécutés par la victime. »] class execution action impact_resource[« <b>Technique</b> – <b>T1496 Détournement de ressources</b><br/><b>Description</b>: Utilisation d’injection SEO et de manipulation de backlinks pour voler des ressources et générer des revenus illicites. »] class impact_resource action impact_bandwidth[« <b>Technique</b> – <b>T1496.002 Détournement de bande passante</b><br/><b>Description</b>: Redirection du trafic via un proxy inverse afin de détourner la bande passante et servir des payloads malveillants aux crawlers. »] class impact_bandwidth action %% Flux initial_access –>|conduit à| persistence persistence –>|conduit à| defacement defacement –>|conduit à| c2 c2 –>|conduit à| execution execution –>|conduit à| impact_resource impact_resource –>|conduit à| impact_bandwidth
Flux d’Attaque
Détections
Activité AppCmd Suspecte (via ligne de commande)
Voir
Service Windows Potentiellement Ajouté Manuellement à l’Autostart (via ligne de commande)
Voir
Exécution de Processus Système à partir de Chemins Atypiques (via création de processus)
Voir
Détection de Malware BadIIS avec User-Agent Personnalisé [Proxy]
Voir
Détection de Chemin PDB BadIIS [Événement Fichier Windows]
Voir
Exécution de Simulation
Prérequis: Le Contrôle Pré-vol de Télémétrie & Baseline doit avoir été réussi.
Justification: Cette section détaille l’exécution précise de la technique de l’adversaire conçue pour déclencher la règle de détection. Les commandes et le récit produisent directement la télémétrie attendue par la logique de détection.
-
Narratif d’Attaque & Commandes:
Un attaquant qui a obtenu des droits utilisateur limités copie un bundle de DLL malveillant sur l’hôte compromis. Le bundle inclut trois fichiers PDB placés dans des emplacements historiquement utilisés par les échantillons de BadIIS. En créant ces fichiers, l’attaquant laisse un artefact judiciaire que la règle Sigma surveille. L’attaquant utilise la commande standardCopy-Item(PowerShell) pour déposer les fichiers, évitant toute signature d’outil supplémentaire. -
Script de Test de Régression:
# Simulation de Chemin PDB BadIIS – déclenche la règle Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "Fichiers PDB BadIIS créés – la détection devrait se déclencher." -
Commandes de Nettoyage:
# Supprimer les fichiers et répertoires PDB BadIIS simulés $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Nettoyage terminé."