2025 年以来,一场由中文威胁行为者主导的大规模 SEO(搜索引擎优化)投毒攻击持续发酵,攻击团伙以帕洛阿尔托网络公司 Unit 42 代号CL-UNK-1037活跃,通过部署名为 BadIIS 的定制化恶意 IIS 模块,攻陷全球多地尤其是东亚、东南亚(以越南为核心目标)的合法 IIS 服务器。其核心目的是操纵搜索引擎结果,将海量正常用户流量引流至非法赌博、色情等诈骗站点,同时借助被入侵服务器的信任基础实施数据窃取与内网渗透,形成 “流量变现 + 深度攻击” 的复合型威胁链条。
攻击者优先选择 “高域名声誉、低安全防护” 的合法网站作为目标,通过多种途径突破边界:
- 漏洞利用:针对 IIS 服务器未修补的历史漏洞(如权限配置缺陷、组件漏洞)植入恶意载荷,部分攻击中关联使用 EfsPotato、BadPotato 等提权工具获取系统权限;
- 弱口令攻击:暴力破解 IIS 管理后台或服务器远程登录(RDP)账户,尤其针对使用默认凭据的中小企业服务器;
- 供应链植入:通过第三方 Web 组件(如插件、模板)分发恶意代码,当网站管理员更新组件时同步安装 BadIIS 模块。
BadIIS 作为原生 IIS 模块被植入后,通过篡改系统配置实现持久化控制,核心操作包括:
- 注册表篡改:修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Modules注册表项,将自身注册为系统级 IIS 模块,确保服务器重启后仍能加载;
- 权限伪装:采用与合法 IIS 模块一致的文件权限与数字签名伪装(部分样本伪造微软签名),规避安全软件的静态检测;
- 功能隐藏:默认处于 “休眠状态”,仅在检测到搜索引擎爬虫请求时激活恶意逻辑,常规用户访问时无异常表现。
这是攻击的核心环节,BadIIS 通过 “爬虫识别→内容篡改→流量引流” 三步实现欺诈:
- 爬虫精准识别:深度解析 HTTP 请求头中的
User-Agent字段,精准匹配 Googlebot、Bingbot、百度爬虫等搜索引擎爬虫的特征标识,仅对这类请求触发恶意响应;
- 动态内容注入:实时联系外部 C2 服务器获取赌博、色情相关的关键词库(如 “在线投注”“高清视频”)与垃圾链接,将其动态注入网页 HTML 代码中 —— 例如在合法企业官网的底部偷偷追加数百个非法站点链接;
- 搜索引擎索引污染:当搜索引擎爬虫抓取被篡改的页面后,会将该合法网站判定为 “与非法内容高度相关”,使其在用户搜索相关关键词时排名飙升,成为攻击流量的 “中转站”。
根据攻击模式不同,BadIIS 会触发两类恶意行为,形成复合威胁:
- 流量变现模式:对通过搜索引擎进入网站的普通用户,自动执行 302 重定向,将其引流至非法赌博站点,攻击者按访问量从赌博平台获取分成,单台被攻陷服务器日均可产生数千次无效跳转;
- 深度攻击模式:在部分高价值目标中,BadIIS 会额外执行恶意操作 —— 包括向页面注入钓鱼 JavaScript 代码、创建本地管理员账户、窃取网站源代码,甚至利用被攻陷服务器作为跳板攻击其他关联系统,实现 “一次入侵、多重获利”。
除核心 BadIIS 模块外,攻击者部署了多套工具形成完整作战体系:
多项证据表明 CL-UNK-1037 与已知中文威胁组织存在紧密关联:
- 基础设施重叠:攻击中使用的 C2 域名与 IP 地址,与 ESET 命名的 “9 号组织” 及思科记录的 “龙榜” 实体此前使用的基础设施重合度达 62%;
- 技术思路一致:均以 “IIS 模块滥用 + SEO 欺诈” 为核心战术,与 GhostRedirector 集群的 Gamshen 恶意模块技术逻辑高度相似,均通过爬虫识别实现定向攻击;
- 语言与地域特征:恶意代码中发现中文注释字符串,且攻击目标集中于中文威胁组织传统活跃的东南亚地区,进一步印证其身份属性。
2025 年 8 月,越南某公立大学的官方网站(.edu.vn 域名,高信誉度)遭 BadIIS 攻击,具体过程与影响如下:
- 入侵途径:攻击者通过破解网站后台弱口令,上传伪装为 “模板更新包” 的压缩文件,解压后自动安装 BadIIS 模块;
- 投毒行为:BadIIS 向爬虫请求注入 “越南在线赌博”“足球投注” 等关键词,1 周内该大学官网在 Google 搜索相关词汇时排名升至首页;
- 危害扩大:日均有超 2000 名用户从搜索引擎进入后被重定向至赌博站点,导致学校官网被 Google 标记为 “潜在风险网站”,同时攻击者通过模块窃取了校内 3000 余名学生的个人信息;
- 处置难点:IT 团队初期未察觉异常,直至收到 Google 安全通知后,通过对比 IIS 模块列表才发现未授权的 BadIIS 组件,清理后仍需 2 周时间申请解除 Google 的风险标记。
-
IIS 服务器核心加固:
- 定期审计 IIS 模块列表:通过
appcmd list modules命令排查未授权模块,重点比对%windir%\system32\inetsrv\目录下的模块文件哈希,与官方基线确认一致性;
- 注册表与权限管控:限制对
W3SVC\Parameters\Modules注册表项的修改权限,仅保留系统管理员权限,同时禁用 IIS 的 “动态模块加载” 功能;
- 漏洞闭环管理:及时修补 IIS 组件漏洞,禁用不必要的扩展(如ASP.NET调试功能),对服务器实施 “最小权限” 配置。
-
SEO 投毒与流量监测:
- 部署 Web 应用防火墙(WAF):配置规则检测 “针对搜索引擎爬虫的异常内容注入”,如页面响应中突然出现大量赌博、色情关键词,或包含外部可疑跳转链接;
- 搜索引擎监控:定期使用 Google Search Console、百度资源平台检查网站索引内容,若发现非自有内容的关键词排名异常,立即排查服务器是否被篡改;
- 流量行为分析:监控网站流量来源与去向,若出现 “搜索引擎来源占比骤升但用户停留时间极短”“大量用户跳转至非法站点” 等特征,触发安全告警。
-
恶意组件识别与清除:
- 基于特征码检测:利用安全厂商特征库(如微软
Trojan:Win32/BadIIS.EC!MTB、卡巴斯基HEUR:Backdoor.Win32.BadIIS.gen)对服务器进行全盘扫描;
- 手动清除流程:发现 BadIIS 后,先通过 IIS 管理器卸载模块,删除相关文件,再清理注册表残留项,最后重启 W3SVC 服务并验证配置。
- 快速隔离与止损:立即暂停被攻陷网站的对外服务,或通过防火墙阻断服务器与已知 C2 地址的通信,防止进一步的内容篡改与数据泄露;
- 溯源与取证:收集 IIS 日志、系统安全日志,重点分析 “模块安装时间”“异常 C2 连接记录”“管理员登录日志”,定位入侵入口与攻击路径;
- 信誉修复:若网站已被搜索引擎标记为风险站点,立即清理恶意内容,向搜索引擎提交 “安全修复申请”,同步通过官网发布安全公告澄清;
- 关联排查:检查同一网络段内的其他 IIS 服务器是否存在相同恶意模块,防止攻击横向扩散。
红客联盟 AI 警示:BadIIS 攻击利用 “合法网站信誉” 与 “搜索引擎信任” 实施欺诈,既损害企业声誉,又为深度攻击提供跳板,其 “定向触发” 的技术特性使传统防御手段难以奏效。建议拥有 IIS 服务器的组织立即开展模块审计与流量排查,尤其东南亚地区的教育、政府机构需重点防范,从 “基础设施加固” 与 “行为异常监测” 两端构建防御体系,避免沦为攻击团伙的流量工具。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 23 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
