Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Cisco Talos identifizierte eine BadIIS-Malware-Variante, die durch eingebettete demo.pdb Strings gekennzeichnet ist und verband sie mit einem Malware-as-a-Service-Ökosystem, das von mehreren chinesischsprachigen Cyberkriminellen genutzt wird. Die Malware zielt auf Microsoft IIS-Server ab, um SEO-Manipulation, schädliche Traffic-Umleitung, Reverse-Proxying für Suchmaschinen-Crawler und Backlink-Injektion zu unterstützen. Betreiber können Bereitstellungen über einen modularen Builder anpassen, der maßgeschneiderte Konfigurationen unterstützt, einschließlich Umgehungsoptionen für bestimmte Antivirus-Produkte wie Norton. Talos beobachtete diese Aktivität weltweit von mindestens September 2021 bis Anfang 2026.
Untersuchung
Talos untersuchte PDB-Pfade, Builder-Komponenten und Authentifizierungslogik, um die Entwicklungsgeschichte und das Betriebsmodell der Malware zu rekonstruieren. Forscher fanden heraus, dass ein dedizierter Builder Konfigurationsdateien, JavaScript-Redirectoren und PHP-Backlink-Payloads erstellt, während er Befehl-und-Kontrolle-Adressen mit einem Ein-Byte-XOR-Schlüssel verschlüsselt mit 0x3. Die Malware authentifiziert sich beim C2, indem sie nach dem Antwort-String lwxat sucht und ein benutzerdefiniertes Base64-Schema zur Datenverarbeitung verwendet. Talos entdeckte auch verwandte Dienstinstaller und Dropper-Tools, die dieselbe Codebasis und Designmuster teilen.
Minderung
ClamAV und Snort bieten signaturbasierte Erkennungen für diese BadIIS-Familie. Verteidiger sollten nach dem benutzerdefinierten User-Agent lwxatisme und dem Windows-Dienstnamen Winloginüberwachen, da beide als Frühwarnindikatoren dienen können. IIS-Härtung sollte die Beschränkung der Installation von nicht genehmigten Diensten, die Überprüfung von IIS-Modulregistrierungen und die Blockierung ausgehenden Traffics zu bekannten bösartigen Infrastrukturen umfassen. Die Aktualisierung der Antiviren-Signaturen mit den neuesten BadIIS-Varianten kann die Exposition weiter reduzieren.
Reaktion
Wenn BadIIS-Aktivität entdeckt wird, sollten Einsatzkräfte den betroffenen IIS-Server isolieren und den bösartigen Windows-Dienst stoppen. Konfigurationsdateien und PDB-Artefakte sollten gesammelt und überprüft werden, um die genaue verwendete Build-Variante zu bestimmen. Zugehörige Befehls- und Kontroll-Domänen oder IP-Adressen sollten blockiert, und kompromittierte DLLs entfernt werden, damit legitime IIS-Module wiederhergestellt werden können. Erkennungs-Updates sollten auch mit vertrauenswürdigen Branchenkollegen geteilt werden, um die größere Abwehrabdeckung zu verbessern.
graph TB %% Klassendefinitionen classDef action fill:#99ccff %% Knotendefinitionen initial_access[„<b>Technik</b> – <b>T1659 Content Injection</b><br/><b>Beschreibung</b>: Der Angreifer injiziert bösartigen Inhalt in legitime Webressourcen, um initialen Zugriff zu erlangen.“] class initial_access action persistence[„<b>Technik</b> – <b>T1036 Masquerading</b><br/><b>Beschreibung</b>: Modifikation von IIS globalModules, um schädliche DLLs zu laden, die als legitime Komponenten getarnt werden.“] class persistence action defacement[„<b>Technik</b> – <b>T1491 Defacement</b><br/><b>Beschreibung</b>: Einschleusen bösartiger Inhalte in Webseiten zur Veränderung der Darstellung und Anzeige attacker-kontrollierter Inhalte.“] class defacement action c2[„<b>Technik</b> – <b>T1659 Content Injection</b><br/><b>Beschreibung</b>: C2-Kanal, bei dem der Builder sich mit der Zeichenkette \“lwxat\“ authentifiziert und Konfigurationsdaten abruft.“] class c2 action execution[„<b>Technik</b> – <b>T1204.001 Benutzerausführung: bösartiger Link</b><br/><b>Beschreibung</b>: Lieferung bösartiger JavaScript-Redirects und PHP-Backlink-Skripte über manipulierte Links, die vom Opfer ausgeführt werden.“] class execution action impact_resource[„<b>Technik</b> – <b>T1496 Ressourcen-Hijacking</b><br/><b>Beschreibung</b>: Nutzung von SEO-Injection und Backlink-Manipulation zum Diebstahl von Ressourcen und zur Generierung illegaler Einnahmen.“] class impact_resource action impact_bandwidth[„<b>Technik</b> – <b>T1496.002 Bandbreiten-Hijacking</b><br/><b>Beschreibung</b>: Umleitung von Traffic über Reverse Proxy zur Übernahme von Bandbreite und Auslieferung bösartiger Payloads an Suchmaschinen-Crawler.“] class impact_bandwidth action %% Fluss initial_access –>|führt zu| persistence persistence –>|führt zu| defacement defacement –>|führt zu| c2 c2 –>|führt zu| execution execution –>|führt zu| impact_resource impact_resource –>|führt zu| impact_bandwidth
Angriffskette
Erkennungen
Verdächtige AppCmd-Aktivität (via cmdline)
Ansicht
Möglicher Windows-Dienst wird manuell zum Autostart hinzugefügt (via cmdline)
Ansicht
Ausführung von Systemprozessen aus untypischen Pfaden (via process_creation)
Ansicht
Erkennung von BadIIS-Malware mit benutzerdefiniertem User-Agent [Proxy]
Ansicht
BadIIS PDB-Pfad-Erkennung [Windows Dateievent]
Ansicht
Simulation der Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorüberprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik, die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Darstellungen erzeugen direkt die Telemetrie, die von der Erkennungslogik erwartet wird.
-
Angriffsartige Narrative & Befehle:
Ein Angreifer, der sich eingeschränkte Benutzerrechte verschafft hat, kopiert ein bösartiges DLL-Bundle auf den kompromittierten Host. Das Bundle enthält drei PDB-Dateien, die in Verzeichnissen abgelegt werden, die historisch von BadIIS-Beispielen verwendet wurden. Durch das Erstellen dieser Dateien hinterlässt der Angreifer ein forensisches Artefakt, nach dem die Sigma-Regel sucht. Der Angreifer verwendet standardmäßigeCopy-Item(PowerShell), um die Dateien abzulegen und dabei zusätzliche Werkzeug-Signaturen zu vermeiden. -
Regressionstest-Skript:
# BadIIS PDB-Pfad-Simulation – löst die Sigma-Regel aus $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "BadIIS PDB-Dateien erstellt – Erkennung sollte ausgelöst werden." -
Bereinigungskommandos:
# Entfernen Sie die simulierten BadIIS PDB-Dateien und Verzeichnisse $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Bereinigung abgeschlossen."