Einführung
Im November 2025 beobachtete Elastic Security Labs einen Einbruch, der eine multinationale Organisation mit Sitz in Südostasien betraf. Bei der Analyse dieser Aktivitäten beobachtete unser Team verschiedene Post-Compromise-Techniken und -Tools, die zur Installation der BADIIS-Malware auf einem Windows-Webserver eingesetzt wurden. Diese Beobachtungen decken sich mit früheren Berichten von Cisco Talos und Trend Micro aus dem letzten Jahr.
Diese Bedrohungsgruppe hat immer mehr Opfer angehäuft und koordiniert eine groß angelegte SEO-Manipulationsaktion aus Ländern auf der ganzen Welt. Unsere Einblicke in die Kampagne deuten auf eine komplexe, geografisch ausgerichtete Infrastruktur hin, die darauf abzielt, kompromittierte Server zu monetarisieren, indem Benutzer auf ein breites Netzwerk illegaler Websites wie Online-Glücksspielplattformen und Kryptowährungssysteme umgeleitet werden.
Wichtigste Erkenntnisse
- Elastic Security Labs beobachtet groß angelegte SEO-Poisoning-Kampagnen, die weltweit IIS-Server mit der Malware BADIIS angreifen und über 1.800 Windows-Server betreffen.
- Kompromittierte Server werden über ein Netzwerk von Infrastrukturen monetarisiert, das dazu dient, Nutzer mit Glücksspielwerbung und anderen illegalen Websites gezielt anzusprechen.
- Zur betroffenen Infrastruktur gehören Regierungen, verschiedene Unternehmen und Bildungseinrichtungen aus Australien, Bangladesch, Brasilien, China, Indien, Japan, Korea, Litauen, Nepal und Vietnam.
- Diese Aktivität entspricht der Bedrohungsgruppe UAT-8099, die von Cisco Talos im vergangenen Oktober identifiziert wurde, und stimmt mit früheren Berichten von Trend Micro überein.
Übersicht über die Kampagne
REF4033 ist eine chinesischsprachige Cyberkriminellengruppe, die für eine massive, koordinierte SEO-Poisoning-Kampagne verantwortlich ist, bei der weltweit mehr als 1.800 Windows-Webserver mithilfe eines bösartigen IIS-Moduls namens BADIIS kompromittiert wurden.
Die Kampagne läuft in zwei Phasen ab:
- Erstens liefert es mit Schlüsselwörtern vollgestopftes HTML an Suchmaschinen-Crawler, um die Suchergebnisse zu verfälschen, und
- Anschließend werden die Opfer auf eine weitverzweigte „Lasterökonomie“ aus illegalen Glücksspielplattformen, Pornografie und ausgeklügelten Phishing-Seiten für Kryptowährungen umgeleitet, beispielsweise auf einen betrügerischen Klon der Upbit-Börse.
Durch den Einsatz der BADIIS-Malware, eines bösartigen IIS-Moduls, das sich direkt in die Anfrageverarbeitungskette eines Webservers integriert, kapert die Gruppe die Webserver legitimer Regierungs-, Bildungs- und Unternehmensdomains. Diese hoch angesehene Infrastruktur wird genutzt, um die Suchmaschinenplatzierungen zu manipulieren und Angreifern so zu ermöglichen, den Webverkehr abzufangen und weitreichenden Finanzbetrug zu begünstigen.
Eindringungsaktivität
Im November 2025 beobachtete Elastic Security Labs nach der Kompromittierung eines Windows IIS-Servers Aktivitäten, die auf einen unbekannten Angriffsvektor zurückzuführen waren. Dieser Bedrohungsakteur agierte schnell und gelangte innerhalb von weniger als 17 Minuten vom ersten Zugriff bis zur Bereitstellung des IIS-Moduls. Die erste Enumeration wurde über eine Webshell durchgeführt, die unter dem IIS-Workerprozess lief (w3wp.exe). Der Angreifer führte eine erste Erkundung durch und erstellte dann ein neues Benutzerkonto.
Kurz nachdem das Konto erstellt und der Gruppe „Administratoren“ hinzugefügt wurde, generierte Elastic Defend mehrere Warnmeldungen im Zusammenhang mit einem neu erstellten Windows-Dienst, WalletServiceInfo. Der Dienst lud eine unsignierte ServiceDLL (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.dll) und führte anschließend direkte Systemaufrufe aus dem Modul aus.
Als nächstes sahen wir, wie der Angreifer seinen Zugriff durch den Einsatz eines Programms namens D-Shield Firewall absicherte. Diese Software bietet zusätzliche Sicherheitsfunktionen für IIS-Server, darunter präventive Schutzmaßnahmen und die Möglichkeit, Netzwerkbeschränkungen hinzuzufügen. Um mit der Untersuchung fortzufahren, verwendeten wir den beobachteten Imphash (1e4b23eee1b96b0cc705da1e7fb9e2f3) des Loaders (C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.exe), um eine Loader- Probe von VirusTotal für unsere Analyse zu erhalten.
Um eine Probe der von diesem Loader verwendeten schädlichen DLL zu sammeln, haben wir eine VirusTotal- Suche nach dem Namen (CbsMsgApi.dll) durchgeführt. Wir haben 7 Proben gefunden, die mit demselben Dateinamen eingereicht wurden. Die dahinterstehende Gruppe scheint seit September 2024 eine ähnliche Codebasis zu verwenden. Die meisten dieser Beispiele verwenden VMProtect, ein kommerzielles Code-Verschleierungs-Framework, um statische und dynamische Analysen zu erschweren. Glücklicherweise konnten wir mithilfe eines älteren, ungeschützten Samples weitere Einblicke in diese Angriffskette gewinnen.
Codeanalyse - CbsMsgApi.exe
Die Gruppe verwendet einen Angriffsablauf, der mehrere vom Angreifer bereitgestellte Dateien erfordert, um das schädliche IIS-Modul einzusetzen. Die Ausführungskette beginnt mit der PE-ausführbaren Datei, CbsMsgApi.exe. Diese Datei enthält chinesische Zeichenketten in vereinfachter Form, einschließlich der PDB-Zeichenkette (C:\Users\Administrator\Desktop\替换配置文件\w3wpservice-svchost\x64\Release\CbsMsgApi.pdb).
Nach dem Start erstellt dieses Programm einen Windows-Dienst, WalletServiceinfo, , der eine ServiceDLL (CbsMsgApi.dll) konfiguriert, die unter svchost.exe läuft, ähnlich wie diese Persistenztechnik.
Dieser neu entwickelte Dienst konzentriert sich auf Tarnung und Manipulationsschutz, indem er den Sicherheitsdeskriptor des Dienstes mit folgendem Befehlszeilenparameter modifiziert:
sc sdset "WalletServiceInfo" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Codeanalyse – CbsMsgApi.dll
Die Hauptkomponente dieser Angriffssequenz ist die ServiceDLL (CbsMsgApi.dll). Die bösartige DLL lagert die nativen BADIIS-IIS-Module aus und ändert die IIS-Konfiguration, um sie in die Anforderungspipeline des DefaultAppPool zu laden.
Bei diesem Angriff platziert der Angreifer drei Dateien, die sich als solche im Ordner System32\drivers tarnen:
C:\Windows\System32\drivers\WUDFPfprot.sysC:\Windows\System32\drivers\WppRecorderpo.sysC:\Windows\System32\drivers\WppRecorderrt.sys
Zwei dieser Dateien (WppRecorderrt.sys, WppRecorderpo.sys) stellen die bösartigen 32-Bit-/64-Bit-BADIIS-Module dar. Die andere Datei (WUDFPfprot.sys) enthält Konfigurationselemente, die in die bestehende IIS-Konfiguration eingefügt werden. Nachfolgend finden Sie eine Beispielkonfiguration, die während unserer Analyse verwendet wurde. Besonders hervorzuheben ist der Modulname WsmRes64 (weitere Informationen zu dieser DLL finden Sie im Abschnitt „IIS-Modulanalyse (WsmRes32.dll / WsmRes64.dll)“ weiter unten):
<globalModules>
<add name="WsmRes64" image="C:\Windows\Microsoft.NET\Framework\WsmRes64.dll" preCondition="bitness64" />
</globalModules>
<modules>
<add name="WsmRes64" preCondition="bitness64" />
</modules>Die Malware verwendet die Funktion CopyFileA , um den Inhalt der maskierten Dateien in das .NET-Verzeichnis (C:\Windows\Microsoft.NET\Framework) zu verschieben.
Anschließend analysiert die Malware die Datei DefaultAppPool.config und untersucht jeden Knoten, um die Knoten <globalModules> und <modules> zu aktualisieren. Das Modul wird Konfigurationsinhalte aus der zuvor maskierten Datei (WUDFPfprot.sys) einfügen und die IIS-Konfiguration über eine Reihe von Anfügeoperationen aktualisieren.
Nachfolgend ein Beispiel für den neu hinzugefügten globalen Moduleintrag, der auf die BADIIS-DLL verweist.
Nach erfolgreicher Ausführung wird das BADIIS-Modul auf dem IIS-Server installiert und ist im w3wp.exe -Workerprozess als geladenes Modul sichtbar.
IIS-Modulanalyse (WsmRes32.dll / WsmRes64.dll)
Im folgenden Abschnitt wird die Funktionalität der BADIIS-Module beschrieben. Diese Module ermöglichen das bedingte Einfügen oder Umleiten von schädlichen SEO-Inhalten auf der Grundlage von Kriterien wie dem User-Agent- oder Referer-Header-Wert. Diese Technik gewährleistet, dass schädliche Inhalte während der normalen Nutzung verborgen bleiben, wodurch die Module so lange wie möglich unentdeckt bleiben können.
Bei der Initialisierung lädt das Modul Inhalte von URLs herunter, die in seiner Konfiguration definiert sind. Diese URLs werden in verschlüsselter Form gespeichert und mit Hilfe des SM4 algorithm (einer chinesischen nationalen Standard-Blockchiffre) im ECB-Modus mit dem Schlüssel „ 1111111122222222”“ entschlüsselt. In älteren Stichproben wurde stattdessen der AES-128 ECB-Algorithmus verwendet.
Jede URL in der Konfiguration verweist auf eine statische .txt -Datei, die eine Ressource der zweiten Stufe enthält. Die folgende Liste beschreibt diese Quelldateien und ihre jeweiligen Funktionen:
| Beispielkonfigurations-URL | Dateiname | Inhaltsbeschreibung |
|---|---|---|
hxxp://kr.gotz003[.]com/krfml/krfmlip.txt | *fmlip.txt | Enthält eine URL, die auf eine gefälschte CSS-Datei, google.css, verweist, in der die zum Filtern von Anfragen verwendeten Subnetze aufgelistet sind. |
hxxp://kr.gotz003[.]com/krfml/krfmltz.txt | *fmltz.txt | Enthält einen Link zur Ziel-URL, die für Benutzerweiterleitungen verwendet wird. |
hxxp://kr.gotz003[.]com/krfml/krfmllj.txt | *fmllj.txt | Enthält einen Link zu den schädlichen SEO-Backlinks, die zur Einschleusung bestimmt sind. |
hxxp://kr.gotz003[.]com/krfml/krfmldz.txt | *fmldz.txt | Enthält den Link zum SEO-Content-Generator. |
Diese URLs verweisen auf regionsspezifische Dateien, denen der entsprechende Ländercode vorangestellt ist. Während sich die obigen Beispiele auf Korea (hxxp://kr.domain.com) konzentrieren, existieren entsprechende Dateien für andere Regionen, wie zum Beispiel Vietnam (VN), wo die Dateinamen mit "vn" anstatt mit "kr"(hxxp://vn.domain.com) beginnen.
Das BADIIS-Modul registriert sich innerhalb der Anfrageverarbeitungspipeline und positioniert sich dabei sowohl als erster als auch als letzter Handler. Für jede Anfrage überprüft das Modul bestimmte Eigenschaften und wählt basierend auf den Ergebnissen eine Einfügungs- oder Umleitungsstrategie aus. Wir haben drei Arten von Injektionen:
| Quelle | Injektionsmethode | Beschreibung |
|---|---|---|
*fmltz.txt | Vollständiger Seitenaustausch | HTML-Ladeanzeige mit Fortschrittsanzeige + automatischer Weiterleitung + Google Analytics-Tracking |
*fmldz.txt | Vollständiger Seitenaustausch | Direkter Link zu SEO-Inhalten, erstellt mit index.php?domain=<host>&uri=<original_link> |
*fmllj.txt | Inline-Einspritzung | SEO-Backlinks wurden nach <body> oder <html> -Tag in der bestehenden Antwort eingefügt. |
Um zwischen Bot- und menschlichem Traffic zu unterscheiden, prüft das Modul anhand der folgenden Liste von Referrern und User-Agents.
Referrer: bing, google, naver, daum
User-Agents: bingbot, Googlebot, Yeti, Daum
Die standardmäßige Einschleusungsstrategie zielt auf Suchmaschinen-Crawler ab, die auf eine legitime Seite der kompromittierten Website zugreifen.
In diesem Szenario werden die SEO-Backlinks vom sekundären Link abgerufen und in die Seite eingefügt, damit sie von den Suchmaschinen-Bots gecrawlt werden können. Die heruntergeladenen Backlinks, die in die infizierte Seite eingefügt werden, zielen in erster Linie auf andere lokale Seiten innerhalb der Domain ab, während die übrigen auf Seiten auf anderen infizierten Domains verweisen. Dies ist ein Schlüsselaspekt der Linkfarm-Strategie, bei der große Netzwerke von Websites geschaffen werden, die untereinander verlinkt sind und die Suchmaschinenplatzierung manipulieren.
Die über die Backlinks verlinkten lokalen Seiten existieren nicht auf der infizierten Domain, daher führt deren Besuch zu einem 404 -Fehler. Wird die Anfrage jedoch abgefangen, prüft die Malware zwei Bedingungen: ob der Statuscode nicht 200 oder 3xx ist und ob der User-Agent des Browsers mit einem Crawler-Bot übereinstimmt. In diesem Fall lädt es Inhalte von einer SEO-Seite herunter, die auf seiner Infrastruktur gehostet wird (über einen Link in der *fmldz.txt -Datei von seiner Konfigurations-URL), und gibt einen 200 -Antwortcode an den Bot zurück. Diese Ziel-URL wird mithilfe der Parameter 'domain' und 'uri' erstellt, die den Namen der infizierten Domain und die Ressource enthalten, auf die der Crawler ursprünglich zugreifen wollte.
Schließlich wird, wenn ein Benutzer eine Seite anfordert, die nicht existiert, und diese mit einem Referer-Header-Wert ankommt, der von der Malware aufgeführt wird, die Seite durch einen dritten Inhaltstyp ersetzt: eine Landingpage mit einem Ladebalken. Diese Seite verwendet JavaScript, um den Benutzer auf den Link in der Datei *fmltz.txt weiterzuleiten, die über ihren Konfigurationslink abgerufen wird.
Optionalerweise wird die Anfrage, sofern aktiviert, nur dann ausgeführt, wenn der User-Agent mit einem Mobiltelefon übereinstimmt, wodurch sichergestellt wird, dass der Server ausschließlich mobile Benutzer anspricht.
Die Liste der mobilen User-Agents ist unten aufgeführt:
Geräte: iPhone, iPad, iPod, iOS, Android, uc (UC Browser), BlackBerry, HUAWEI
Wenn die Option aktiviert ist und die IP-Adresse des infizierten Servers mit der Subnetzliste in der google.css -Datei übereinstimmt, die aus der *fmlip.txt -Datei heruntergeladen wurde, liefert der Server den Standard-SEO-Inhalt anstelle der Landingpage/Weiterleitungsseite aus.
Die Landingpage enthält JavaScript-Code mit einem Analytics-Tag – entweder Google Analytics oder Baidu Tongji, abhängig von der Zielregion –, um Weiterleitungen zu überwachen. Der genaue Grund für die Verwendung von Server-IP-Filtern zur Einschränkung des Datenverkehrs bleibt zwar unklar, wir vermuten jedoch, dass dies mit diesen Analysemethoden zusammenhängt und für SEO-Zwecke implementiert wurde.
Wir haben im Rahmen der Kampagne die folgenden Google-Tags identifiziert:
G-2FK43E86ZMG-R0KHSLRZ7N
Sowie ein Baidu Tongji-Tag:
B59ff1638e92ab1127b7bc76c7922245
Kampagnenanalyse
Aufgrund der Ähnlichkeit der URL-Muster (<country_code>fml__.txt, <country_code>fml/index.php) entdeckten wir eine ältere Kampagne aus der Mitte des Jahres 2023, die die folgenden Domains als Konfigurationsserver nutzte.
tz123[.]apptz789[.]app
tz123[.]app wurde in einer Trend Micro BADIIS Kampagnenübersicht IOC-Liste offengelegt, die in 2024 veröffentlicht wurde. Ausgehend von den ersten Einreichungsdaten auf VT für Proben mit dem Namen ul_cache.dll , die mit hxxp://tz789[.]app/brfmljs[.]txt kommunizieren, werden einige auch unter dem Dateinamen WsmRes64.dll eingereicht. Diese Namenskonvention steht im Einklang mit der im vorherigen Abschnitt analysierten BADIIS-Ladekomponente. Die früheste Probe, die wir auf VT entdeckten, wurde erstmals am 12.12.2023 eingereicht.
Bei REF4033 ist die Infrastruktur auf zwei primäre Konfigurationsserver aufgeteilt.
- Aktuelle Kampagnen (
gotz003[.]com): Dient derzeit als primärer Konfigurationsknotenpunkt. Weitere Analysen haben 5 aktive Subdomains identifiziert, die nach Ländercodes kategorisiert sind:kr.gotz003[.]com(Südkorea)vn.gotz003[.]com(Vietnam)cn.gotz003[.]com(China)cnse.gotz003[.]com(China)bd.gotz003[.]com(Bangladesch)
- Legacy-Infrastruktur (
jbtz003[.]com): Wurde in älteren Kampagneniterationen verwendet, obwohl mehrere Subdomains weiterhin in Betrieb sind: br.jbtz003[.]com(Brasilien)vn.jbtz003[.]com(Vietnam)vnbtc.jbtz003[.]com(Vietnam)in.jbtz003[.]com(Indien)cn.jbtz003[.]com(China)jp.jbtz003[.]com(Japan)pk.jbtz003[.]com(Pakistan)
Im Kern geht es bei der jüngsten Kampagne darum, kompromittierte Server zu monetarisieren, indem Benutzer auf ein riesiges Netzwerk illegaler Websites umgeleitet werden. Die Kampagne investiert stark in die Lasterwirtschaft und zielt auf ein asiatisches Publikum ab, beispielsweise durch unregulierte Online-Casinos, Pornografie-Streaming und explizite Werbung für Prostitutionsdienste.
Es stellt auch eine direkte finanzielle Bedrohung dar. Ein Beispiel dafür war eine betrügerische Kryptowährungs-Staking-Plattform, die unter uupbit[.]top gehostet wurde und sich als Upbit, Südkoreas größte Kryptowährungsbörse, ausgab.
Die Targeting-Logik der Kampagne spiegelt weitgehend die geografische Lage der kompromittierten Infrastruktur wider und stellt eine Korrelation zwischen dem Standort des Servers und dem Umleitungsziel des Nutzers her. Beispielsweise leiten kompromittierte Server in China den Datenverkehr auf lokale Glücksspielseiten um, während Server in Südkorea auf die betrügerische Phishing-Seite Upbit weiterleiten. Eine Ausnahme von diesem Muster bildete eine kompromittierte Infrastruktur in Bangladesch, bei der die Akteure HTTP-Weiterleitungen so konfiguriert hatten, dass sie auf nicht-lokale, vietnamesische Glücksspielseiten verwiesen.
Wir haben in den Clustern mehrere verschiedene Weiterleitungsseiten beobachtet. Nachfolgend finden Sie ein Beispiel für die Benutzerumleitungsvorlage für eine Beispielinfrastruktur , die auf ein VN-Opfer abzielt. Diese Vorlage verwendet ein Google-Tag und ist einer der in der UAT-8099-Studie von Cisco Talos beschriebenen Vorlagen sehr ähnlich.
Ein einheitlicheres Muster, das bei allen betroffenen Clustern zu beobachten ist, wird im folgenden Ausschnitt dargestellt, insbesondere die Logik der Fortschrittsanzeige. Da die Stichprobe auf die Infrastruktur des chinesischen Opfers abzielt, wird Baidu Tongji zur Verfolgung der Umleitung des Opfers verwendet.
Wir haben mehrere Cluster (teilweise mit Überschneidungen) kompromittierter Server anhand von URLs entdeckt, die Backlinks aus der folgenden Liste enthalten:
http://kr.gotz001[.]com/lunlian/index.phphttp://se.gotz001[.]com/lunlian/index.phphttps://cn404.gotz001[.]com/lunlian/index.phphttps://cnse.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/indexgov.phphttps://vn404.gotz001[.]com/lunlian/index.phphttps://vn.gotz001[.]com/lunlian/index.phphttp://bd.gotz001[.]com/lunlian/index.phphttp://vn.jbtz001[.]com/lunlian/index.phphttps://vnse.jbtz001[.]com/lunlian/index.phphttps://vnbtc.jbtz001[.]com/lunlian/index.phphttps://in.jbtz001[.]com/lunlian/index.phphttps://br.jbtz001[.]com/lunlian/index.phphttps://cn.jbtz001[.]com/lunlian/index.phphttps://jp.jbtz001[.]com/lunlian/index.phphttps://pk.jbtz001[.]com/lunlian/index.php
Im Rahmen von REF4033 waren weltweit mehr als 1800 Server betroffen. Die Kampagne weist einen klaren geografischen Schwerpunkt auf der APAC-Region auf, wobei China und Vietnam etwa 82 % aller beobachteten kompromittierten Server ausmachen (46,1 % bzw. 35,8 %). Sekundäre Konzentrationen wurden in Indien (3,9%), Brasilien (3,8%) und Südkorea (3,4%) beobachtet, diese stellen jedoch nur einen geringen Anteil des gesamten Kampagnengebiets dar. Bemerkenswerterweise befinden sich rund 30 % der kompromittierten Server auf großen Cloud-Plattformen wie Amazon Web Services, Microsoft Azure, Alibaba Cloud und Tencent Cloud. Die restlichen 70 % der Opfer verteilen sich auf regionale Telekommunikationsanbieter.
Das Opferprofil umfasst diverse Sektoren, darunter Regierungsbehörden, Bildungseinrichtungen, Gesundheitsdienstleister, E-Commerce-Plattformen, Medienunternehmen und Finanzdienstleister, was eher auf eine groß angelegte opportunistische Ausbeutung als auf eine gezielte Ausbeutung hindeutet. Regierungssysteme und Systeme der öffentlichen Verwaltung stellen etwa 8 % der identifizierten Opfer in mindestens 5 Ländern dar (.gov.cn, .gov.br, .gov.bd, .gov.vn, .gov.in, .leg.br).
REF4033 durch MITRE ATT&CK
Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die Bedrohungen gegen Unternehmensnetzwerke einsetzen.
Taktiken
Taktiken stellen das Warum einer Technik oder Untertechnik dar. Es ist das taktische Ziel des Gegners: der Grund für die Ausführung einer Aktion.
Techniken
Techniken stellen dar, wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.
- Ausnutzung öffentlich zugänglicher Anwendung
- Server-Softwarekomponente: IIS-Komponenten
- Konto erstellen: Lokales Konto
- Erstellen oder Ändern des Systemprozesses: Windows-Dienst
- Hijack-Ausführungsablauf: Schwachstelle in den Berechtigungen der Dienstregistrierung
- Verschleierte Dateien oder Informationen: Softwarepaketierung
- Maskierung: Übereinstimmung mit dem legitimen Namen oder Standort
- Erkennung von Systeminformationen
Sanierung von REF4033
Verhütung
- Verdächtiger Nachkomme eines Microsoft IIS-Mitarbeiters
- Potential Privilege Escalation via Token Impersonation (Potenzielle Rechteausweitung durch Token-Identitätswechsel)
- Privilegienausweitung durch SeImpersonatePrivilege
- Direkter Systemaufruf aus einem unsignierten Modul
- Verdächtige Erstellung einer Windows-Dienst-DLL
- Verdächtige Änderung der Svchost-Registry
- Zugriff auf die Security Account Manager (SAM)-Registrierung
YARA
Elastic Security hat YARA-Regeln erstellt, um diese Aktivität zu identifizieren.
Beobachtungen
Die folgenden Observablen wurden in dieser Studie diskutiert.
| Überwachbar | Typ | Name | Referenz |
|---|---|---|---|
055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 | SHA-256 | CbsMsgApi.exe | Service-Installateur |
2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a | SHA-256 | CbsMsgApi.dll | ServiceDLL |
c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 | SHA-256 | CbsMsgApi.dll | ServiceDLL |
7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca | SHA-256 | D_Safe_Manage.exe | D-Shield Firewall |
1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72 | SHA-256 | WsmRes64.idx | 64-Bit-BADIIS-Modul |
1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 | SHA-256 | WsmRes64.idx2.sc | 64-Bit-BADIIS-Modul |
c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f | SHA-256 | WsmRes32.idx | 32-Bit-BADIIS-Modul |
gotz003[.]com | Domain-Name | BADIIS-Konfigurationsserver (primär) | |
jbtz003[.]com | Domain-Name | BADIIS-Konfigurationsserver (Legacy) | |
gotz001[.]com | Domain-Name | BADIIS SEO Content- und Backlink-Server (primär) | |
jbtz001[.]com | Domain-Name | BADIIS SEO Content- und Backlink-Server (primär) |
Referenzen
In der obigen Studie wurde auf Folgendes Bezug genommen: