SOC Prime Bias: Medium

22 May 2026 12:54 UTC

Von PDB-Strings zu MaaS: Nachverfolgung eines Commodity-BadIIS-Ökosystems

Author Photo
SOC Prime Team linkedin icon Folgen
Von PDB-Strings zu MaaS: Nachverfolgung eines Commodity-BadIIS-Ökosystems
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Cisco Talos identifizierte eine BadIIS-Malware-Variante, die durch eingebettete demo.pdb Strings gekennzeichnet ist und verband sie mit einem Malware-as-a-Service-Ökosystem, das von mehreren chinesischsprachigen Cyberkriminellen genutzt wird. Die Malware zielt auf Microsoft IIS-Server ab, um SEO-Manipulation, schädliche Traffic-Umleitung, Reverse-Proxying für Suchmaschinen-Crawler und Backlink-Injektion zu unterstützen. Betreiber können Bereitstellungen über einen modularen Builder anpassen, der maßgeschneiderte Konfigurationen unterstützt, einschließlich Umgehungsoptionen für bestimmte Antivirus-Produkte wie Norton. Talos beobachtete diese Aktivität weltweit von mindestens September 2021 bis Anfang 2026.

Untersuchung

Talos untersuchte PDB-Pfade, Builder-Komponenten und Authentifizierungslogik, um die Entwicklungsgeschichte und das Betriebsmodell der Malware zu rekonstruieren. Forscher fanden heraus, dass ein dedizierter Builder Konfigurationsdateien, JavaScript-Redirectoren und PHP-Backlink-Payloads erstellt, während er Befehl-und-Kontrolle-Adressen mit einem Ein-Byte-XOR-Schlüssel verschlüsselt mit 0x3. Die Malware authentifiziert sich beim C2, indem sie nach dem Antwort-String lwxat sucht und ein benutzerdefiniertes Base64-Schema zur Datenverarbeitung verwendet. Talos entdeckte auch verwandte Dienstinstaller und Dropper-Tools, die dieselbe Codebasis und Designmuster teilen.

Minderung

ClamAV und Snort bieten signaturbasierte Erkennungen für diese BadIIS-Familie. Verteidiger sollten nach dem benutzerdefinierten User-Agent lwxatisme und dem Windows-Dienstnamen Winloginüberwachen, da beide als Frühwarnindikatoren dienen können. IIS-Härtung sollte die Beschränkung der Installation von nicht genehmigten Diensten, die Überprüfung von IIS-Modulregistrierungen und die Blockierung ausgehenden Traffics zu bekannten bösartigen Infrastrukturen umfassen. Die Aktualisierung der Antiviren-Signaturen mit den neuesten BadIIS-Varianten kann die Exposition weiter reduzieren.

Reaktion

Wenn BadIIS-Aktivität entdeckt wird, sollten Einsatzkräfte den betroffenen IIS-Server isolieren und den bösartigen Windows-Dienst stoppen. Konfigurationsdateien und PDB-Artefakte sollten gesammelt und überprüft werden, um die genaue verwendete Build-Variante zu bestimmen. Zugehörige Befehls- und Kontroll-Domänen oder IP-Adressen sollten blockiert, und kompromittierte DLLs entfernt werden, damit legitime IIS-Module wiederhergestellt werden können. Erkennungs-Updates sollten auch mit vertrauenswürdigen Branchenkollegen geteilt werden, um die größere Abwehrabdeckung zu verbessern.

Angriffskette

Simulation der Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorüberprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik, die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Darstellungen erzeugen direkt die Telemetrie, die von der Erkennungslogik erwartet wird.

  • Angriffsartige Narrative & Befehle:
    Ein Angreifer, der sich eingeschränkte Benutzerrechte verschafft hat, kopiert ein bösartiges DLL-Bundle auf den kompromittierten Host. Das Bundle enthält drei PDB-Dateien, die in Verzeichnissen abgelegt werden, die historisch von BadIIS-Beispielen verwendet wurden. Durch das Erstellen dieser Dateien hinterlässt der Angreifer ein forensisches Artefakt, nach dem die Sigma-Regel sucht. Der Angreifer verwendet standardmäßige Copy-Item (PowerShell), um die Dateien abzulegen und dabei zusätzliche Werkzeug-Signaturen zu vermeiden.

  • Regressionstest-Skript:

    # BadIIS PDB-Pfad-Simulation – löst die Sigma-Regel aus
    $paths = @(
        "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb",
        "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb",
        "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb"
    )
    foreach ($p in $paths) {
        $dir = Split-Path $p -Parent
        if (-not (Test-Path $dir)) {
            New-Item -Path $dir -ItemType Directory -Force | Out-Null
        }
        New-Item -Path $p -ItemType File -Force | Out-Null
    }
    Write-Host "BadIIS PDB-Dateien erstellt – Erkennung sollte ausgelöst werden."
  • Bereinigungskommandos:

    # Entfernen Sie die simulierten BadIIS PDB-Dateien und Verzeichnisse
    $paths = @(
        "C:UsersAdministratorDesktop2021-09-30",
        "C:UsersAdministratorDesktopdll-no503",
        "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt"
    )
    foreach ($base in $paths) {
        if (Test-Path $base) {
            Remove-Item -Path $base -Recurse -Force
        }
    }
    Write-Host "Bereinigung abgeschlossen."