UAT-8099：中文网络犯罪组织针对高价值IIS服务器实施SEO欺诈

思科Talos披露了UAT-8099的详细信息，这是一个主要参与搜索引擎优化（SEO）欺诈以及窃取高价值凭据、配置文件和证书数据的中文网络犯罪组织。思科的文件普查和DNS分析显示，受影响的Internet信息服务（IIS）服务器位于印度、泰国、越南、加拿大和巴西，目标包括大学、科技公司和电信提供商等组织。

UAT-8099通过专注于目标地区声誉良好的高价值IIS服务器来操纵搜索排名。该组织使用Web shell、开源黑客工具、Cobalt Strike和各种BadIIS恶意软件维持持久性并改变SEO排名；他们的自动化脚本经过定制以逃避防御并隐藏活动。Talos今年在VirusTotal上发现了该活动中几个新的BadIIS恶意软件样本——一个集群检测率极低，另一个包含简体中文调试字符串。

受害者分析

基于思科的文件普查和DNS流量分析，受影响的IIS服务器区域包括印度、泰国、越南、加拿大和巴西。目标IIS服务器由大学、科技公司和电信提供商等组织拥有。被入侵的IIS服务器将用户重定向到未经授权的广告或非法赌博网站。这些网站使用的语言有助于识别目标区域或国家。

图1：泰语、葡萄牙语和英语赌博网站

他们的大多数目标是移动用户，不仅包括Android设备，还包括Apple iPhone设备。

图2：赌博Android安装包下载网站图3：赌博iOS应用下载网站

攻击链

在此活动中，UAT-8099组织利用了Web服务器文件上传功能中的弱设置。

图4：UAT-8099攻击链流程图

目标Web服务器允许用户上传文件到服务器，但没有限制文件类型，这使得UAT-8099能够上传Web shell。这建立了初始访问权限并让他们控制了被入侵的服务器。以下是本次活动中检测到的Web shell位置，被识别为开源的"ASP.NET Web BackDoor" Web shell：

1

C:/inetpub/wwwroot/[REDACTED]/Html/hw/server.ashx

在投放Web shell后，Talos观察到攻击者利用它执行诸如ipconfig、whoami、arp和tasklist等命令来收集系统信息并发现主机网络信息。信息收集完成后，UAT-8099启用guest账户，设置密码，并将guest用户权限提升到管理员级别，包括使用RDP访问系统的能力。

命令	MITRE
`cmd /c net user guest /active:yes & net user guest P@ssw0rd & net localgroup administrators guest /add & net localgroup Remote Desktop Users guest /add`	T1136.001
`cmd /c cd /d C:/Windows/SysWOW64/inetsrv/&for /f tokens=2 %i in ('tasklist /FI SERVICES eq TermService /NH') do netstat -ano \| findstr %i \| findstr LISTENING 2>&1`	T1049/T1007/T1057

表1：初始访问、侦察和用户凭据添加

为了维持对目标IIS服务器的访问并安装BadIIS恶意软件进行SEO欺诈，Talos观察到攻击者完成三个步骤来实现持久性、提升权限、安装恶意软件并构建自卫解决方案：

部署SoftEther VPN、EasyTier（去中心化虚拟专用网络工具）和快速反向代理（FRP）
利用共享公共工具在IIS服务器上提升权限，使用Procdump提取受害者凭据
安装D_Safe_Manage（知名的Windows IIS安全工具）防止其他攻击者入侵服务器

命令	MITRE
`cmd /c C:/Users/Public/Libraries/install_VPN.bat`	T1059.003
`C:\Users\Public\Libraries\mass.exe -c C:\Users\Public\Libraries\config.yaml`	T1133
`cmd.exe /C frpc.exe -c frpc.ini`	T1133

表2：工具安装、转储用户凭据用于外泄和保护安装

自动化脚本使用

Talos还观察到UAT-8099在某些攻击中投放并执行三个批处理脚本文件，以自动化其任务或为持久性和SEO欺诈设置被入侵的服务器。

第一个脚本用于IIS模块安装：

1

C:\Windows\system32\cmd.exe /c C:\ProgramData\iis.bat

图5：为持久性和SEO欺诈设置服务器

第二个脚本用于配置Windows系统上的RDP设置和相关网络活动：

1

C:\Windows\system32\cmd.exe /c C:\ProgramData\fuck.bat

图6：配置RDP设置以允许传入连接

第三组脚本设计用于建立并立即触发使用"inetinfo.exe"的持久性高权限计划任务：

1

C:\Windows\system32\cmd.exe /c C:\ProgramData\1.bat

图7：inetinfo.exe用于侧加载Cobalt Strike信标

Cobalt Strike信标的用户定义反射加载器

Talos观察到UAT-8099在此活动中使用Cobalt Strike作为其后门。他们采用DLL侧加载作为执行后门的方法，并建立了计划任务以在被入侵系统上保持持久性。

图9：Cobalt Strike信标执行图

加密的第一阶段有效负载嵌入在wmicodegen.dll文件中。当此DLL由合法的WMI V2提供程序代码生成工具加载时，它使用VirtualQuery API专门为此第一阶段有效负载分配内存块。

图10：使用VirtualQuery API加载第一阶段有效负载

解密第一阶段有效负载后，我们可以看到第二阶段有效负载与一小段shellcode结合，以及第三阶段有效负载，该有效负载经过加密并使用Base64编码。

图11：第二阶段有效负载

当跳转到第三阶段有效负载时，我们观察到它是一个DLL文件但没有原始PE头。我们还将此第三阶段有效负载识别为Cobalt Strike信标的用户定义反射加载器。擦除的原始PE头和每个阶段的重度混淆与博客描述一致。

图12：带有监听器名称PUBG的信标结构

最重要的是，DLL文件内部包含"udrl.x64.dll"和"customLoader"，这也与用户定义反射加载器博客描述匹配。

图13：嵌入的"udrl.x64.dll"和"customLoader"

新型BadIIS变种

Talos对本次活动中使用的BadIIS变种的分析揭示了与Black Hat USA 2021白皮书和Trend Micro博客中记录的变种在功能和URL模式上的相似性。然而，这种新的BadIIS恶意软件改变了其代码结构和功能工作流程，以逃避防病毒产品的检测。

图15：检测率低的新BadIIS第一集群图16：包含简体中文调试字符串的新BadIIS第二集群

第一集群新BadIIS

第一集群新BadIIS恶意软件实现了名为"CHttpModule::OnBeginRequest"和"CHttpModule::OnSendResponse"的处理程序。两个处理程序都使用传入HTTP头中的"User-Agent"和"Referer"字段来确定要执行的恶意功能。

SEO操纵方案

OnBeginRequest处理程序通过检查"User-Agent"和"Referer"HTTP头来处理传入请求，以代理或注入器响应。当检测到请求来自Googlebot并满足特定URL路径条件时，请求通过代理功能转发。目标URL路径模式如下：

1

news|cash|bet|gambling|betting|casino|fishing|deposit|bonus|sitemap|app|ios|video|games|xoso|dabong|nohu|yono|apks|android|hots|vna|craps|banca|online|sicbo|uono|yono|cocs|matkas

图17：OnBeginRequest处理程序图18：代理模式图19：注入器模式

OnSendResponse处理程序首先通过向"User-Agent"为Googlebot的请求提供来自C2服务器的特定内容来执行SEO欺诈，操纵搜索排名以增加恶意内容的可见性。

图20：OnSendResponse处理程序图21：SEO欺诈模式

各模式的技术亮点

代理模式 在代理模式下，BadIIS首先验证URL路径以确保进程在正确的模式下运行。然后提取嵌入的C2服务器地址（以十六进制字节编码），并使用此C2作为代理从辅助C2服务器检索内容，随后响应IIS服务器。

图22：使用C2服务器作为代理图23：使用"WriteEntityChunks"将数据插入HTTP响应体

SEO欺诈模式 Talos确定攻击者采用称为反向链接的传统SEO技术来提高网站可见性。在此SEO欺诈模式下，BadIIS向Google爬虫提供大量带有HTML内容的反向链接以提高搜索引擎排名。

图24：检索包含HTML内容的反向链接图25：来自C2服务器的反向链接

注入器模式 在注入器模式下，BadIIS拦截源自Google搜索结果的浏览器请求。它连接到C2服务器以检索JavaScript代码，然后使用"WriteEntityChunks" API将下载的JavaScript嵌入响应的HTML内容中。

图26：将JavaScript代码注入响应数据图27：从C2服务器获取JavaScript代码

BadIIS从C2服务器检索恶意JavaScript代码，并将用户重定向到恶意网站而不是合法网站。通过不将JavaScript代码直接嵌入二进制文件中，可以更轻松地修改重定向目标，并有助于逃避防病毒安全产品的检测。

图28：带有葡萄牙语警告消息的JavaScript代码图29：JavaScript代码中的两个不同C2服务器

第二集群新BadIIS

第二集群新BadIIS恶意软件也包括名为"CHttpModule::OnBeginRequest"和"CHttpModule::OnSendResponse"的处理程序。此集群还具有三种模式：SEO欺诈模式、注入器模式和代理模式。

值得注意的是，注入器和代理模式在SEO欺诈模式的保护伞下运行，其本身有四种针对不同场景定制的变体：

全界面劫持：针对Web服务器上的所有网页
主页劫持：仅针对主页
全局反向代理：配置代理自动替换搜索引擎爬虫和用户的内容
指定URL路径反向代理：配置代理自动替换搜索引擎爬虫和用户的内容

图30-33：第二集群BadIIS的四种SEO欺诈变体

攻击者在调试字符串中称为"特征码"的URL路径模式包括多个版本。其中一些版本部分匹配在第一个BadIIS恶意软件集群中发现的模式。

防护覆盖

思科客户可通过以下方式检测和阻止此威胁：

Cisco Secure Endpoint
Cisco Secure Email
Cisco Secure Firewall
Cisco Secure Network/Cloud Analytics
Cisco Secure Malware Analytics
Cisco Secure Access
Umbrella
Cisco Secure Web Appliance
Cisco Duo

开源Snort订阅规则集客户可通过下载Snort.org上提供的最新规则包保持最新。此威胁的Snort SID为：65346、65345。

ClamAV检测也可用于此威胁：

Win.Malware.SysShell-10058032-0
Win.Malware.NewBadIIS-10058033-0
Win.Malware.BadIISCR45-10058034-0
Win.Malware.WebShellCn-10058035-0
Win.Packed.CSBeaconCn-10058036-0

危害指标（IOC）

IOC可在我们的GitHub存储库中找到。

中文黑客组织UAT-8099利用新型BadIIS恶意软件实施SEO欺诈

思科Talos披露中文网络犯罪组织UAT-8099针对高价值IIS服务器实施SEO欺诈活动，详细分析其攻击链、新型BadIIS变种技术特征及Cobalt Strike后门利用手法，涉及印度、泰国等多国高校和电信企业。