MENU

BadIIS

ほぼこもセキュリティニュース

BadIISは、脆弱なIISサーバ上で動作するマルウェアです。
IISはWindows上で動作するWebサーバサービスです。
インターネットから到達可能な場所にある脆弱なWindowsに展開されてしまっています。
BadIISはIISのモジュールの形式で実装されていて、バッチファイルでインストールされます。
どのような動きをするのでしょうか。

  • SEO詐欺モード
    このモードで動作する場合、BadIISは侵害したIISに到達するHTTPリクエストを監視します。
    そして、特定の条件を満たすHTTPリクエストと判定されると、ユーザがリクエストしたコンテンツではなく、別のページにリダイレクトする動作を行います。
    条件判定に使用されるHTTPヘッダーは、「User-Agent」と「Referer」でした。
  • インジェクターモード
    このモードで動作する場合、BadIISは正当な訪問者からのリクエストに対する通常の応答に疑わしいJavaScriptコードを挿入します。
    そして、そのJavaScriptの動作により、訪問者は悪意のあるWebサイトにリダイレクトされます。
    挿入されるJavaScriptに含まれている内容は暗号化されていますので、一見しても、その内容を判定することはできません。
    これは通常の方法ではこのJavaScriptが危険なものであるのかどうかを判定することが容易ではないことを意味します。

最近のこれらのBadIISを使った攻撃キャンペーンで誘い込まれるサイトは、違法ギャンブルサイトでした。
脅威アクターは違法ギャンブルサイトに被害者を誘い込むことにマルウェアを使用していたといえます。
しかし、このBadIISの利用はそれに留まらないでしょう。
誘い込む先のURLや確認するHTTPヘッダーを調整するだけで、特定のグループをターゲットにした大量のマルウェア配布や水飲み場型攻撃に簡単に適応できてしまいます。

脆弱性修正プログラムのタイムリーな適用だけでなく、必要最小限な状態になるようにアクセス制御できた状態を保ちたいですね。

Chinese-Speaking Group Manipulates SEO with BadIIS

https://www.trendmicro.com/en_us/research/25/b/chinese-speaking-group-manipulates-seo-with-badiis.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。