Від рядків PDB до MaaS: Відстеження екосистеми звичайного BadIIS
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Cisco Talos визначили варіант шкідливого ПЗ BadIIS, що характеризується вбудованим demo.pdb рядки та пов’язали його з еко-системою шкідливого ПЗ як послуги, яку використовують численні китайськомовні кіберзлочинці. Шкідливе ПЗ націлено на сервери Microsoft IIS, щоб підтримувати маніпуляцію SEO, перенаправлення шкідливого трафіку, зворотнє проксі для пошукових двигунів і вприскування зворотних посилань. Оператори можуть налаштовувати розгортання через модульний конструктор, який підтримує цільові конфігурації, включаючи опції обходу для певних антивірусних продуктів, таких як Norton. Talos спостерігали цю активність по всьому світу принаймні з вересня 2021 до початку 2026 року.
Розслідування
Talos досліджували шляхи PDB, компоненти конструктора та логіку автентифікації, щоб відновити історію розробки шкідливого ПЗ та його операційну модель. Дослідники виявили, що спеціальний конструктор створює файли конфігурації, JavaScript-перенаправники та PHP-пейлоади зворотних посилань, при цьому кодує адреси команд і контролю за допомогою одно-байтового XOR ключа 0x3. Шкідливе ПЗ автентифікує на своєму C2, перевіряючи рядок відповіді lwxat і використовує індивідуальну схему Base64 для обробки даних. Talos також виявили пов’язані установники сервісу та інструменти-дропери, які поділяли ту саму кодову базу та дизайн.
Мітигація
ClamAV і Snort надають сигнатурні детекції для цього сімейства BadIIS. Захисники мають моніторити користувацький агент lwxatisme і назву сервісу Windows Winlogin, оскільки обидва можуть служити ранніми індикаторами попередження. Укріплення IIS повинно включати обмеження установки непередбачених сервісів, аудит реєстрацій модулів IIS та блокування вихідного трафіку до відомої шкідливої інфраструктури. Підтримання антивірусних сигнатур оновленими відповідно до останніх варіантів BadIIS може знизити експозицію.
Реакція
Якщо виявлено активність BadIIS, реагуючі повинні ізолювати уражений сервер IIS та зупинити шкідливий Windows сервіс. Файли конфігурації та артефакти PDB повинні бути зібрані та переглянуті для визначення точного варіанту збірки. Пов’язані домени або IP адреси команд і контролю повинні бути заблоковані, а скомпрометовані DLL видалені, щоби відновити легітимні модулі IIS. Оновлення детекцій слід поділитися з довіреними галузевими колегами для поліпшення ширшого захисного покриття.
Потік атаки
Детекції
Підозріла активність AppCmd (через командний рядок)
Переглянути
Можливе ручне додавання сервісу Windows в автозапуск (через командний рядок)
Переглянути
Виконання системних процесів з нетипових шляхів (через процес створення)
Переглянути
Виявлення шкідливого ПЗ BadIIS з користувацьким агентом [Proxy]
Переглянути
Виявлення шляху PDB BadIIS [Подія Windows файлу]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна пройти.
Мотивація: У цьому розділі детально описується точне виконання техніки противника, призначеної для спрацьовування правила виявлення. Команди та наратив безпосередньо підтверджують телеметрію, яка очікується за логікою виявлення.
-
Наратив атаки та команди:
Зловмисник, що отримав обмежені права користувача, копіює шкідливі DLL на скомпрометований вузол. Пакет включає три файли PDB, розміщені в місцях, історично використовуваних зразками BadIIS. Створюючи ці файли, злочинець залишає судову артефакту, яку стежать правила Sigma. Атакуючий використовує стандартнийCopy-Item(PowerShell) для скидання файлів, уникаючи додаткових сигнатур інструменту. -
Скрипт регресійного тесту:
# Симуляція шляху PDB BadIIS – викликає правило Sigma $paths = @( "C:UsersAdministratorDesktop2021-09-30x64Releasedemo.pdb", "C:UsersAdministratorDesktopdll-no503Releasedemo.pdb", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txtx64Releasedemo.pdb" ) foreach ($p in $paths) { $dir = Split-Path $p -Parent if (-not (Test-Path $dir)) { New-Item -Path $dir -ItemType Directory -Force | Out-Null } New-Item -Path $p -ItemType File -Force | Out-Null } Write-Host "Файли PDB BadIIS створені – виявлення повинно спрацювати." -
Команди прибирання:
# Видалити імітовані файли та каталоги PDB BadIIS $paths = @( "C:UsersAdministratorDesktop2021-09-30", "C:UsersAdministratorDesktopdll-no503", "C:UsersAdministratorDesktop兼容百度浏览器+劫持robots.txt" ) foreach ($base in $paths) { if (Test-Path $base) { Remove-Item -Path $base -Recurse -Force } } Write-Host "Очищення завершено."