SOC Prime Bias: Medio

22 May 2026 12:54 UTC
newspaper icon Blog de Cisco Talos

De cadenas PDB a MaaS: Rastreando un ecosistema BadIIS comercial

Author Photo
SOC Prime Team linkedin icon Seguir
De cadenas PDB a MaaS: Rastreando un ecosistema BadIIS comercial
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Cisco Talos identificó una variante de malware BadIIS marcada por demo.pdb cadenas incrustadas y la vinculó a un ecosistema de malware-como-servicio utilizado por varios actores del cibercrimen de habla china. El malware apunta a servidores Microsoft IIS para apoyar la manipulación de SEO, el redireccionamiento de tráfico malicioso, el proxy inverso para rastreadores de motores de búsqueda y la inyección de enlaces de retroceso. Los operadores pueden personalizar las implementaciones a través de un constructor modular que soporta configuraciones adaptadas, incluyendo opciones de evasión para productos antivirus específicos como Norton. Talos observó esta actividad en todo el mundo al menos desde septiembre de 2021 hasta principios de 2026.

Investigación

Talos examinó rutas PDB, componentes del constructor y lógica de autenticación para reconstruir la historia de desarrollo y el modelo operativo del malware. Los investigadores encontraron que un constructor dedicado crea archivos de configuración, redireccionadores JavaScript y cargas útiles de retroceso PHP, mientras codifica direcciones de mando y control con una clave XOR de un solo byte de 0x3. El malware se autentica con su C2 verificando la cadena de respuesta lwxat y utiliza un esquema Base64 personalizado para el manejo de datos. Talos también descubrió instaladores de servicios relacionados y herramientas dropper que compartían la misma base de código y patrones de diseño.

Mitigación

ClamAV y Snort proporcionan detecciones basadas en firmas para esta familia BadIIS. Los defensores deben monitorear el agente de usuario personalizado lwxatisme y el nombre del servicio de Windows Winlogin, ya que ambos pueden servir como indicadores de advertencia temprana. El endurecimiento de IIS debe incluir la restricción de la instalación de servicios no aprobados, la auditoría de registros de módulos IIS y el bloqueo de tráfico saliente a infraestructuras maliciosas conocidas. Mantener las firmas de antivirus actualizadas con las últimas variantes BadIIS puede reducir aún más la exposición.

Respuesta

Si se descubre actividad de BadIIS, los respondedores deben aislar el servidor IIS afectado y detener el servicio de Windows malicioso. Se deben recopilar y revisar los archivos de configuración y artefactos PDB para determinar la variante de construcción exacta en uso. Se deben bloquear los dominios o direcciones IP de comando y control asociados, y eliminar las DLL comprometidas para que los módulos IIS legítimos puedan ser restaurados. Las actualizaciones de detección también deben compartirse con aliados de la industria confiables para mejorar la cobertura defensiva más amplia.

graph TB %% Визначення класів classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ffcc99 %% Вузли action_phishing[«<b>Дія</b> – <b>T1566.001 Фішинг</b><br/>Spearphishing з вкладенням: електронний лист із шкідливим PDF, що містить посилання на ZIP»] class action_phishing action action_user_exec[«<b>Дія</b> – <b>T1204.002 Виконання користувачем</b><br/>Жертва відкриває PDF/ZIP і запускає JavaScript OYSTERFRESH»] class action_user_exec action malware_oysterfresh[«<b>Шкідливе ПЗ</b> – OYSTERFRESH<br/>JavaScript-файл, доставлений у ZIP, точка входу атаки»] class malware_oysterfresh malware action_obfuscate[«<b>Дія</b> – <b>T1027.008 Обфускація</b><br/>Обфускований payload через реверс рядків, ROT13 та URL-декодування»] class action_obfuscate action malware_oysterblues[«<b>Шкідливе ПЗ</b> – OYSTERBLUES<br/>Створює записи реєстру та запускає компоненти закріплення»] class malware_oysterblues malware tool_wscript[«<b>Інструмент</b> – wscript.exe<br/>Windows Script Host для виконання додаткових JavaScript-компонентів»] class tool_wscript tool action_proxy_exec[«<b>Дія</b> – <b>T1127 Проксі-виконання</b><br/>Використання wscript.exe для запуску OYSTERSHUCK та OYSTERBLUES»] class action_proxy_exec action action_persistence[«<b>Дія</b> – <b>T1547.014 Закріплення</b><br/>Створення HKCU Run ключів для запуску MicrosoftEdgeUpdate.exe та EdgeApp.exe при вході в систему»] class action_persistence action action_discovery[«<b>Дія</b> – <b>T1057 Виявлення процесів</b><br/>Збір списку процесів, імені комп’ютера, користувача, версії ОС та часу завантаження»] class action_discovery action process_c2[«<b>Процес</b> – HTTP POST до C2-сервера<br/>Відправка зібраної системної інформації»] class process_c2 process action_embedded_payload[«<b>Дія</b> – <b>T1027.009 Вбудований payload</b><br/>Cobalt Strike beacon, вбудований у JavaScript і виконаний через eval»] class action_embedded_payload action malware_cobalt_strike[«<b>Шкідливе ПЗ</b> – Cobalt Strike beacon<br/>Вбудований шкідливий payload»] class malware_cobalt_strike malware %% Зв’язки action_phishing –>|доставка| action_user_exec action_user_exec –>|запуск| malware_oysterfresh malware_oysterfresh –>|виконує| action_obfuscate action_obfuscate –>|створює| malware_oysterblues malware_oysterblues –>|використовує| tool_wscript tool_wscript –>|активує| action_proxy_exec action_proxy_exec –>|виконує| malware_oysterblues action_proxy_exec –>|виконує| malware_oysterfresh action_proxy_exec –>|виконує| malware_cobalt_strike action_persistence –>|створює| process_c2 action_discovery –>|надсилає до| process_c2 action_embedded_payload –>|виконує| malware_cobalt_strike

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El chequeo previo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario diseñada para activar la regla de detección. Los comandos y la narrativa producen directamente la telemetría esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante que ha obtenido derechos limitados de usuario copia un paquete DLL malicioso en el host comprometido. El paquete incluye tres archivos PDB colocados en ubicaciones históricamente utilizadas por muestras de BadIIS. Al crear estos archivos, el atacante deja un artefacto forense que la regla Sigma monitorea. El atacante usa Copy-Item (PowerShell) para soltar los archivos, evitando cualquier firma de herramienta adicional.

  • Script de Prueba de Regresión:

    # Simulación de ruta PDB de BadIIS – desencadena la regla Sigma
$paths = @(
    "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb",
    "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb",
    "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb"
)
foreach ($p in $paths) {
    $dir = Split-Path $p -Parent
    if (-not (Test-Path $dir)) {
        New-Item -Path $dir -ItemType Directory -Force | Out-Null
    }
    New-Item -Path $p -ItemType File -Force | Out-Null
}
Write-Host "Archivos PDB de BadIIS creados – la detección debería activarse."

  • Comandos de Limpieza:

    # Eliminar los archivos PDB de BadIIS simulados y directorios
$paths = @(
    "C:UsersAdministratorDesktop2021-09-30",
    "C:UsersAdministratorDesktopdll-no503",
    "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt"
)
foreach ($base in $paths) {
    if (Test-Path $base) {
        Remove-Item -Path $base -Recurse -Force
    }
}
Write-Host "Limpieza completa."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis