PDB文字列からMaaSへ:コモディティBadIISエコシステムの追跡
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Cisco Talosは、埋め込まれた demo.pdb 文字列を特徴とするBadIISマルウェアの亜種を特定し、複数の中国語を話すサイバー犯罪者によって使用されているマルウェア・アズ・ア・サービスのエコシステムにリンクしました。このマルウェアは、SEO操作、悪意のあるトラフィックのリダイレクション、検索エンジンクローラーのためのリバースプロキシ、バックリンクインジェクションをサポートするためにMicrosoft IISサーバーを標的としています。オペレーターは、Nortonなどの特定のアンチウイルス製品に対する回避オプションを含むカスタム構成をサポートするモジュラービルダーを通じてデプロイメントをカスタマイズできます。Talosは、少なくとも2021年9月から2026年初めにかけて世界中でこの活動を観測しました。
調査
Talosは、PDBパス、ビルダーコンポーネント、認証ロジックを調べ、マルウェアの開発履歴と運用モデルを再構築しました。研究者は、特定のビルダーが構成ファイル、JavaScriptリダイレクタ、PHPバックリンクペイロードを作成し、コマンド・アンド・コントロールアドレスを単一バイトのXORキーでエンコードすることを発見しました。 0x3。マルウェアは、応答文字列 lwxat をチェックして自らをC2に認証し、データ処理にはカスタムBase64スキームを使用します。Talosは、同じコードベースと設計パターンを共有する関連サービスインストーラーやドロッパーツールも発見しました。
緩和策
ClamAVとSnortは、このBadIISファミリーのシグネチャベースの検出を提供します。防御者は、カスタムユーザーエージェント lwxatisme とWindowsサービス名 Winloginを監視し、早期警報の指標として使用する必要があります。IISの強化には、未承認のサービスのインストールを制限し、IISモジュールの登録を監査し、既知の悪意のあるインフラストラクチャへのアウトバウンドトラフィックをブロックすることが含まれます。最新のBadIIS亜種を含むアンチウイルスシグネチャを最新に保つことで、さらなる曝露を減らすことができます。
対応
BadIISの活動が発見された場合、対応者は影響を受けたIISサーバーを隔離し、悪意のあるWindowsサービスを停止する必要があります。構成ファイルとPDBアーティファクトを収集し、使用中の正確なビルド亜種を特定するためにレビューする必要があります。関連するコマンド・アンド・コントロールドメインまたはIPアドレスをブロックし、正当なIISモジュールを復元できるように侵害されたDLLを削除する必要があります。また、検出更新情報を信頼できる業界の仲間と共有し、広範な防御カバレッジを向上させる必要があります。
攻撃フロー
シミュレーション実行
前提条件: テレメトリーとベースラインの事前飛行チェックが合格している必要があります。
理由: このセクションでは、検出ルールを引き起こすように設計された敵対者の技術の正確な実行について詳述しています。コマンドや説明は、検出ロジックが期待するテレメトリーを直接生成します。
-
攻撃の説明とコマンド:
制限されたユーザー権限を得た攻撃者は、悪意のあるDLLバンドルを侵害ホストにコピーします。このバンドルには、BadIISサンプルで歴史的に使用されてきた場所に配置された3つのPDBファイルが含まれています。これらのファイルを作成することで、攻撃者はSigmaルールが監視するフォレンジックアーティファクトを残します。攻撃者は標準的なCopy-Item(PowerShell)を使用してファイルをドロップし、追加のツールシグネチャを避けます。 -
回帰テストスクリプト:
# BadIIS PDBパスシミュレーション – Sigmaルールを引き起こす $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { おぅ = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "BadIIS PDBファイルが作成されました – 検出が作動するはずです。" -
クリーンアップコマンド:
# シミュレーションされたBadIIS PDBファイルおよびディレクトリを削除する $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "クリーンアップ完了。"