De cadenas PDB a MaaS: Rastreando un ecosistema BadIIS comercial
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Cisco Talos identificó una variante de malware BadIIS marcada por demo.pdb cadenas incrustadas y la vinculó a un ecosistema de malware-como-servicio utilizado por varios actores del cibercrimen de habla china. El malware apunta a servidores Microsoft IIS para apoyar la manipulación de SEO, el redireccionamiento de tráfico malicioso, el proxy inverso para rastreadores de motores de búsqueda y la inyección de enlaces de retroceso. Los operadores pueden personalizar las implementaciones a través de un constructor modular que soporta configuraciones adaptadas, incluyendo opciones de evasión para productos antivirus específicos como Norton. Talos observó esta actividad en todo el mundo al menos desde septiembre de 2021 hasta principios de 2026.
Investigación
Talos examinó rutas PDB, componentes del constructor y lógica de autenticación para reconstruir la historia de desarrollo y el modelo operativo del malware. Los investigadores encontraron que un constructor dedicado crea archivos de configuración, redireccionadores JavaScript y cargas útiles de retroceso PHP, mientras codifica direcciones de mando y control con una clave XOR de un solo byte de 0x3. El malware se autentica con su C2 verificando la cadena de respuesta lwxat y utiliza un esquema Base64 personalizado para el manejo de datos. Talos también descubrió instaladores de servicios relacionados y herramientas dropper que compartían la misma base de código y patrones de diseño.
Mitigación
ClamAV y Snort proporcionan detecciones basadas en firmas para esta familia BadIIS. Los defensores deben monitorear el agente de usuario personalizado lwxatisme y el nombre del servicio de Windows Winlogin, ya que ambos pueden servir como indicadores de advertencia temprana. El endurecimiento de IIS debe incluir la restricción de la instalación de servicios no aprobados, la auditoría de registros de módulos IIS y el bloqueo de tráfico saliente a infraestructuras maliciosas conocidas. Mantener las firmas de antivirus actualizadas con las últimas variantes BadIIS puede reducir aún más la exposición.
Respuesta
Si se descubre actividad de BadIIS, los respondedores deben aislar el servidor IIS afectado y detener el servicio de Windows malicioso. Se deben recopilar y revisar los archivos de configuración y artefactos PDB para determinar la variante de construcción exacta en uso. Se deben bloquear los dominios o direcciones IP de comando y control asociados, y eliminar las DLL comprometidas para que los módulos IIS legítimos puedan ser restaurados. Las actualizaciones de detección también deben compartirse con aliados de la industria confiables para mejorar la cobertura defensiva más amplia.
Flujo de Ataque
Detecciones
Actividad sospechosa de AppCmd (via cmdline)
Ver
Posible servicio de Windows siendo añadido manualmente al inicio automático (via cmdline)
Ver
Ejecución de procesos del sistema desde rutas no típicas (via process_creation)
Ver
Detección de Malware BadIIS con User-Agent Personalizado [Proxy]
Ver
Detección de ruta PDB de BadIIS [Evento de archivo en Windows]
Ver
Ejecución de Simulación
Prerequisito: El chequeo previo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario diseñada para activar la regla de detección. Los comandos y la narrativa producen directamente la telemetría esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un atacante que ha obtenido derechos limitados de usuario copia un paquete DLL malicioso en el host comprometido. El paquete incluye tres archivos PDB colocados en ubicaciones históricamente utilizadas por muestras de BadIIS. Al crear estos archivos, el atacante deja un artefacto forense que la regla Sigma monitorea. El atacante usaCopy-Item(PowerShell) para soltar los archivos, evitando cualquier firma de herramienta adicional. -
Script de Prueba de Regresión:
# Simulación de ruta PDB de BadIIS – desencadena la regla Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "Archivos PDB de BadIIS creados – la detección debería activarse." -
Comandos de Limpieza:
# Eliminar los archivos PDB de BadIIS simulados y directorios $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Limpieza completa."