팔로우 
요약
Cisco Talos는 BadIIS 멀웨어 변종을 식별하고 demo.pdb 문자열이 포함된 변종이 여러 중국어 사용 사이버 범죄자에 의해 사용되는 멀웨어 애즈 어 서비스 생태계와 연결되어 있음을 발견했습니다. 멀웨어는 Microsoft IIS 서버를 대상으로 하여 SEO 조작, 악성 트래픽 리디렉션, 검색 엔진 크롤러를 위한 리버스 프록시, 백링크 주입을 지원합니다. 운영자는 Norton과 같은 특정 안티바이러스 제품에 대한 회피 옵션을 포함한 맞춤형 구성을 지원하는 모듈형 빌더를 통해 배포를 맞춤화할 수 있습니다. Talos는 2021년 9월부터 2026년 초까지 전 세계적으로 이 활동을 관찰했습니다.
조사
Talos는 PDB 경로, 빌더 구성 요소, 인증 로직을 조사하여 멀웨어의 개발 역사와 운영 모델을 재구성했습니다. 연구진은 전용 빌더가 구성 파일, JavaScript 리디렉터, PHP 백링크 페이로드를 생성하고 단일 바이트 XOR 키로 명령 및 제어 주소를 인코딩한다는 사실을 발견했습니다. 0x3. 멀웨어는 lwxat 응답 문자열을 확인하여 C2에 인증하고 데이터 처리를 위해 사용자 지정 Base64 스키마를 사용합니다. Talos는 동일한 코드 기반과 디자인 패턴을 공유하는 관련 서비스 설치 프로그램 및 드로퍼 도구도 발견했습니다.
완화
ClamAV 및 Snort는 이 BadIIS 패밀리를 위한 서명 기반 탐지를 제공합니다. 방어자는 사용자 지정 사용자 에이전트 lwxatisme 및 Windows 서비스 이름 Winlogin, 둘 다 초기 경고 지표로 사용될 수 있으므로 모니터링해야 합니다. IIS 강화에는 승인되지 않은 서비스 설치 제한, IIS 모듈 등록 감사, 알려진 악성 인프라에 대한 아웃바운드 트래픽 차단이 포함되어야 합니다. 최신 BadIIS 변종을 사용하여 안티바이러스 서명을 최신 상태로 유지하면 노출을 더욱 줄일 수 있습니다.
대응
BadIIS 활동이 발견된 경우, 대응자는 영향을 받은 IIS 서버를 격리하고 악성 Windows 서비스를 중지해야 합니다. 구성 파일 및 PDB 아티팩트를 수집하여 사용 중인 정확한 빌드 변종을 확인해야 합니다. 연관된 명령 제어 도메인 또는 IP 주소는 차단해야 하고 손상된 DLL을 제거하여 합법적인 IIS 모듈이 복원될 수 있도록 해야 합니다. 탐지 업데이트는 신뢰할 수 있는 업계 동료와 공유하여 더 넓은 방어 범위를 향상시킬 필요가 있습니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff %% 노드 정의 initial_access[“<b>기술</b> – <b>T1659 콘텐츠 주입</b><br/><b>설명</b>: 공격자는 합법적인 웹 리소스에 악성 콘텐츠를 주입하여 초기 접근을 획득한다.”] class initial_access action persistence[“<b>기술</b> – <b>T1036 위장</b><br/><b>설명</b>: IIS globalModules를 수정하여 악성 DLL을 로드하고 정상 구성 요소로 위장하여 지속성과 방어 회피를 달성한다.”] class persistence action defacement[“<b>기술</b> – <b>T1491 웹 변조</b><br/><b>설명</b>: 웹 페이지에 악성 콘텐츠를 주입하여 화면을 변경하고 공격자 메시지를 표시한다.”] class defacement action c2[“<b>기술</b> – <b>T1659 콘텐츠 주입</b><br/><b>설명</b>: C2 채널로, 빌더는 문자열 \”lwxat\”로 인증하고 설정 데이터를 가져온다.”] class c2 action execution[“<b>기술</b> – <b>T1204.001 사용자 실행: 악성 링크</b><br/><b>설명</b>: 조작된 링크를 통해 악성 JavaScript 리디렉션 및 PHP 백링크 스크립트를 전달하고 사용자가 실행한다.”] class execution action impact_resource[“<b>기술</b> – <b>T1496 자원 하이재킹</b><br/><b>설명</b>: SEO 스팸 주입 및 백링크 조작을 통해 자원을 탈취하고 불법 수익을 생성한다.”] class impact_resource action impact_bandwidth[“<b>기술</b> – <b>T1496.002 대역폭 하이재킹</b><br/><b>설명</b>: 리버스 프록시를 통해 트래픽을 우회하여 대역폭을 탈취하고 검색 엔진 크롤러에 악성 페이로드를 제공한다.”] class impact_bandwidth action %% 흐름 initial_access –>|다음 단계| persistence persistence –>|다음 단계| defacement defacement –>|다음 단계| c2 c2 –>|다음 단계| execution execution –>|다음 단계| impact_resource impact_resource –>|다음 단계| impact_bandwidth
공격 흐름
시뮬레이션 실행
사전 준비: 텔레메트리 및 기준선 사전 점검이 통과해야 함.
합리적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 탐지 로직이 예상하는 텔레메트리를 직접 생성합니다.
-
공격 내러티브 & 명령:
제한된 사용자 권한을 획득한 공격자는 손상된 호스트에 악성 DLL 번들을 복사합니다. 번들은 역사적으로 BadIIS 샘플에서 사용된 위치에 세 개의 PDB 파일을 포함합니다. 이 파일을 생성함으로써 공격자는 Sigma 규칙이 감시하는 포렌식 아티팩트를 남깁니다. 공격자는 표준Copy-Item(PowerShell)을 사용하여 파일을 내려, 추가 도구 서명을 회피합니다. -
회귀 테스트 스크립트:
# BadIIS PDB 경로 시뮬레이션 – Sigma 규칙 트리거 $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "BadIIS PDB 파일이 생성되었습니다 – 탐지가 발생해야 합니다." -
정리 명령:
# 시뮬레이션된 BadIIS PDB 파일 및 디렉토리 제거 $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼용百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "정리가 완료되었습니다."