De Strings PDB para MaaS: Rastreando um Ecossistema de BadIIS como Mercadoria
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Cisco Talos identificou uma variante de malware BadIIS marcada por demo.pdb e a vinculou a um ecossistema de malware como serviço usado por vários cibercriminosos de língua chinesa. O malware tem como alvo os servidores Microsoft IIS para manipulação de SEO, redirecionamento de tráfego malicioso, proxy reverso para rastreadores de motores de busca e injeção de backlinks. Os operadores podem personalizar implantações por meio de um criador modular que suporta configurações personalizadas, incluindo opções de evasão para produtos antivírus específicos como Norton. Talos observou essa atividade em todo o mundo desde pelo menos setembro de 2021 até o início de 2026.
Investigação
Talos examinou caminhos PDB, componentes do criador e lógica de autenticação para reconstruir a história e o modelo operacional do malware. Pesquisadores descobriram que um criador dedicado cria arquivos de configuração, redirecionadores JavaScript e cargas úteis de backlink PHP, enquanto codifica endereços de comando e controle com uma chave XOR de um único byte de 0x3. O malware se autentica com seu C2 verificando a string de resposta lwxat e usa um esquema Base64 personalizado para manipulação de dados. Talos também descobriu instaladores de serviço relacionados e ferramentas de entrega que compartilhavam a mesma base de código e padrões de design.
Mitigação
ClamAV e Snort fornecem detecções baseadas em assinaturas para essa família BadIIS. Os defensores devem monitorar o agente do usuário personalizado lwxatisme e o nome do serviço do Windows Winlogin, já que ambos podem servir como indicadores de advertência precoce. O reforço do IIS deve incluir restrição na instalação de serviços não aprovados, auditoria de registros de módulos do IIS e bloqueio de tráfego de saída para infraestrutura maliciosa conhecida. Manter as assinaturas de antivírus atualizadas com as últimas variantes BadIIS pode reduzir ainda mais a exposição.
Resposta
Se for descoberta atividade BadIIS, os respondedores devem isolar o servidor IIS afetado e interromper o serviço do Windows malicioso. Arquivos de configuração e artefatos PDB devem ser coletados e revisados para determinar a variante exata da compilação em uso. Domínios de comando e controle ou endereços IP associados devem ser bloqueados, e DLLs comprometidos devem ser removidos para que os módulos legítimos do IIS possam ser restaurados. Atualizações de detecção também devem ser compartilhadas com colegas confiáveis da indústria para melhorar a cobertura defensiva mais ampla.
graph TB %% Definições de classe classDef action fill:#99ccff %% Definição de nós initial_access[“<b>Técnica</b> – <b>T1659 Injeção de Conteúdo</b><br/><b>Descrição</b>: O atacante injeta conteúdo malicioso em recursos web legítimos para obter acesso inicial.”] class initial_access action persistence[“<b>Técnica</b> – <b>T1036 Mascaramento</b><br/><b>Descrição</b>: Modifica globalModules do IIS para carregar DLLs maliciosas, disfarçando-as como componentes legítimos para persistência e evasão.”] class persistence action defacement[“<b>Técnica</b> – <b>T1491 Defacement</b><br/><b>Descrição</b>: Injeta conteúdo malicioso em páginas web para alterar sua aparência e exibir mensagens controladas pelo atacante.”] class defacement action c2[“<b>Técnica</b> – <b>T1659 Injeção de Conteúdo</b><br/><b>Descrição</b>: Canal de comando e controlo onde o builder autentica usando a string \”lwxat\” e obtém dados de configuração.”] class c2 action execution[“<b>Técnica</b> – <b>T1204.001 Execução pelo utilizador: link malicioso</b><br/><b>Descrição</b>: Entrega redirecionamentos JavaScript maliciosos e scripts PHP de backlinks através de links manipulados executados pela vítima.”] class execution action impact_resource[“<b>Técnica</b> – <b>T1496 Sequestro de recursos</b><br/><b>Descrição</b>: Usa injeção SEO fraudulenta e manipulação de backlinks para roubar recursos e gerar receita ilícita.”] class impact_resource action impact_bandwidth[“<b>Técnica</b> – <b>T1496.002 Sequestro de largura de banda</b><br/><b>Descrição</b>: Redireciona tráfego através de proxy reverso para sequestrar largura de banda e servir payloads maliciosos a crawlers de motores de busca.”] class impact_bandwidth action %% Fluxo initial_access –>|leva a| persistence persistence –>|leva a| defacement defacement –>|leva a| c2 c2 –>|leva a| execution execution –>|leva a| impact_resource impact_resource –>|leva a| impact_bandwidth
Fluxo de Ataque
Detecções
Atividade Suspeita do AppCmd (via cmdline)
Visualizar
Possível Serviço do Windows Sendo Adicionado Manualmente Para Autoinicialização (via cmdline)
Visualizar
Execução de Processos do Sistema de Caminhos Atípicos (via criação de processo)
Visualizar
Detecção de Malware BadIIS com Agente de Usuário Personalizado [Proxy]
Visualizar
Detecção de Caminho PDB do BadIIS [Evento de Arquivo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria e Linha de Base deve ter sido aprovada.
Fundamento: Esta seção detalha a execução precisa da técnica do adversário projetada para acionar a regra de detecção. Os comandos e a narrativa produzem diretamente a telemetria esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um atacante que ganhou direitos de usuário limitados copia um pacote de DLL malicioso no host comprometido. O pacote inclui três arquivos PDB colocados em locais historicamente usados por amostras de BadIIS. Ao criar esses arquivos, o atacante deixa um artefato forense que a regra Sigma observa. O atacante usa padrãoCopy-Item(PowerShell) para soltar os arquivos, evitando qualquer assinatura de ferramenta adicional. -
Script de Teste de Regressão:
# Simulação de Caminho PDB BadIIS – aciona a regra Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "Arquivos PDB do BadIIS criados – a detecção deve ser acionada." -
Comandos de Limpeza:
# Remover os arquivos PDB do BadIIS simulados e diretórios $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Limpeza completa."