近年来一种名为 BadIIS 的高危恶意软件正悄然威胁着全球范围内的 IISInternet Information Services网络服务器。据 Cisco Talos 安全研究团队披露该恶意程序通过在服务器底层植入恶意模块实现流量劫持与内容篡改已有大量合法网站及其访问者深受其害。这场攻击并非近期才出现。调查显示BadIIS 的活跃痕迹最早可追溯至 2021 年 9 月其最新编译版本甚至更新到了 2026 年 1 月。长达数年的持续运营加上频繁的版本迭代足以说明背后运营者对该工具的投入与维护力度。从地理分布来看亚太地区成为重灾区南非、欧洲及北美的部分服务器也未能幸免。这种跨地域的扩散态势暗示着攻击背后可能存在一套成熟的分发与运营体系。成千上万的合法网站在不知不觉中沦为攻击跳板其用户则被悄无声息地导向各类非法目的地。隐蔽的劫持机制服务器表面正常流量已被篡改技术层面BadIIS 的核心运作机制相当隐蔽。它并非直接破坏服务器文件系统而是以合法 IIS 模块的形式潜伏在服务器软件内部。一旦完成植入该模块便在后台静默拦截所有流经服务器的网络请求。普通访问者几乎无法察觉异常——页面外观保持正常但浏览器会话中已被悄然注入 JavaScript 重定向代码强制将用户导向赌博平台、成人内容站点或其他非法页面。对于搜索引擎爬虫BadIIS 则展现出另一套策略。它充当反向代理角色从攻击者的命令控制服务器获取精心构造的非法内容再伪装成目标网站的正常页面返回给爬虫。这种双面孔机制不仅欺骗了普通用户更严重干扰了搜索引擎对网站内容的正常索引实质上构成了一种恶意的 SEO 欺诈行为。运营者可以通过构建工具灵活配置受影响的流量比例还能从远程地址动态拉取恶意标题、描述和关键词元数据。更精细的是劫持规则支持按访问者的浏览器语言进行差异化跳转这意味着不同地区的用户可能会被导向完全不同的非法站点。恶意软件即服务一条成熟的网络黑产链条值得关注的是Cisco Talos 在分析过程中发现了一个嵌入 demo.pdb 字符串的特定变种。这一调试符号的存在通常意味着该恶意软件并非单一团伙的专属武器而更可能是一款面向多个中文网络犯罪团体销售的通用工具。基于中等置信度Talos 评估认为该变种采用了恶意软件即服务MaaS的商业模式运营。MaaS 模式的出现极大地降低了网络犯罪的门槛。开发者负责持续更新功能、规避安全检测而下游购买者只需按需求配置攻击参数即可投入使用。BadIIS 的构建工具便提供了四项核心功能流量重定向、搜索引擎爬虫反向代理、网站内容完全劫持以及内外部反向链接注入。攻击者在这套体系中使用了 lwxat 这一别名该标识广泛出现在构建工具、身份验证机制以及 C2 通信的 HTTP 用户代理字符串中。PDB 路径中的定制化痕迹进一步证实BadIIS 存在为特定客户量身打造的专属版本客户标识如 xshen 等已被识别出来。这种按需定制的服务形态进一步坐实了其 MaaS 商业属性。模块化生态与持久化驻留技术为了实现长期驻留BadIIS 配套开发了一整套辅助工具生态。其中包括服务化安装程序、投放器组件以及多种持久化机制。部分组件会伪装成 FaxService 或 AudiosService 等看似合法的 Windows 服务以此躲避日常安全检查。另有模块初始化投放器将恶意 DLL 载荷打包在标记为 IIS32 和 IIS64 的资源文件中确保服务器每次重启后恶意代码都能自动恢复运行。在通信隐蔽性方面BadIIS 采用自定义 Base64 编码配合单字节 XOR 混淆技术来隐藏 C2 服务器地址有效规避常规安全扫描。针对诺顿等主流安全厂商的被动规避策略也被集成到更新版本中显示出运营者对抗安全检测的积极态度。快速迭代、功能分支化以及对特定杀软的定向绕过都表明这套工具目前仍处于活跃维护状态。企业防护建议与威胁情报指标面对如此狡猾的威胁服务器管理员亟需采取主动防御措施。定期审计已安装的 IIS 模块清单仔细检查 applicationHost.config 文件中是否存在未知或未经授权的条目是发现异常的第一步。同时应加强对 Web 服务器出站连接的监控任何指向可疑目的地的非预期流量都值得警惕。保持安全产品的特征库更新确保能识别 BadIIS 的特定签名同样是降低风险的关键环节。目前已知的入侵指标涵盖多个维度。ClamAV 检测特征包括 Win.Malware.BadIIS-10069981-0、Win.Malware.BadIIS-10069988-0、Win.Malware.BadIIS-10069984-0 及 Win.Malware.BadIIS-10069985-0 等签名。Snort 规则方面SID 1:66400、1:66439、1:66438 可用于 Snort2 环境检测并阻断相关恶意流量Snort3 环境则对应 1:66400 与 1:301498-1。文件层面需留意名为 IIS32、IIS64 的 DLL 载荷以及 config.txt、模块.txt 等配置文件。服务名称 Winlogin、用户代理字符串 lwxatisme以及包含 demo.pdb 和 lwxat 的 PDB 路径均属于高价值威胁情报指标。需要特别注意的是相关 IP 地址与域名已在情报报告中有意隐去建议在受控的威胁情报平台如 MISP、VirusTotal 或 SIEM 系统中重新启用并关联分析。网络安全形势日趋复杂BadIIS 这类针对服务器底层的威胁提醒我们必须将安全防护的视角从终端延伸至基础设施层面。唯有持续监控、及时响应才能在攻击者得手之前筑起坚实防线。
BadIIS 恶意软件肆虐全球:IIS 服务器遭大规模劫持,企业如何筑牢防线
发布时间:2026/5/22 23:25:56
近年来一种名为 BadIIS 的高危恶意软件正悄然威胁着全球范围内的 IISInternet Information Services网络服务器。据 Cisco Talos 安全研究团队披露该恶意程序通过在服务器底层植入恶意模块实现流量劫持与内容篡改已有大量合法网站及其访问者深受其害。这场攻击并非近期才出现。调查显示BadIIS 的活跃痕迹最早可追溯至 2021 年 9 月其最新编译版本甚至更新到了 2026 年 1 月。长达数年的持续运营加上频繁的版本迭代足以说明背后运营者对该工具的投入与维护力度。从地理分布来看亚太地区成为重灾区南非、欧洲及北美的部分服务器也未能幸免。这种跨地域的扩散态势暗示着攻击背后可能存在一套成熟的分发与运营体系。成千上万的合法网站在不知不觉中沦为攻击跳板其用户则被悄无声息地导向各类非法目的地。隐蔽的劫持机制服务器表面正常流量已被篡改技术层面BadIIS 的核心运作机制相当隐蔽。它并非直接破坏服务器文件系统而是以合法 IIS 模块的形式潜伏在服务器软件内部。一旦完成植入该模块便在后台静默拦截所有流经服务器的网络请求。普通访问者几乎无法察觉异常——页面外观保持正常但浏览器会话中已被悄然注入 JavaScript 重定向代码强制将用户导向赌博平台、成人内容站点或其他非法页面。对于搜索引擎爬虫BadIIS 则展现出另一套策略。它充当反向代理角色从攻击者的命令控制服务器获取精心构造的非法内容再伪装成目标网站的正常页面返回给爬虫。这种双面孔机制不仅欺骗了普通用户更严重干扰了搜索引擎对网站内容的正常索引实质上构成了一种恶意的 SEO 欺诈行为。运营者可以通过构建工具灵活配置受影响的流量比例还能从远程地址动态拉取恶意标题、描述和关键词元数据。更精细的是劫持规则支持按访问者的浏览器语言进行差异化跳转这意味着不同地区的用户可能会被导向完全不同的非法站点。恶意软件即服务一条成熟的网络黑产链条值得关注的是Cisco Talos 在分析过程中发现了一个嵌入 demo.pdb 字符串的特定变种。这一调试符号的存在通常意味着该恶意软件并非单一团伙的专属武器而更可能是一款面向多个中文网络犯罪团体销售的通用工具。基于中等置信度Talos 评估认为该变种采用了恶意软件即服务MaaS的商业模式运营。MaaS 模式的出现极大地降低了网络犯罪的门槛。开发者负责持续更新功能、规避安全检测而下游购买者只需按需求配置攻击参数即可投入使用。BadIIS 的构建工具便提供了四项核心功能流量重定向、搜索引擎爬虫反向代理、网站内容完全劫持以及内外部反向链接注入。攻击者在这套体系中使用了 lwxat 这一别名该标识广泛出现在构建工具、身份验证机制以及 C2 通信的 HTTP 用户代理字符串中。PDB 路径中的定制化痕迹进一步证实BadIIS 存在为特定客户量身打造的专属版本客户标识如 xshen 等已被识别出来。这种按需定制的服务形态进一步坐实了其 MaaS 商业属性。模块化生态与持久化驻留技术为了实现长期驻留BadIIS 配套开发了一整套辅助工具生态。其中包括服务化安装程序、投放器组件以及多种持久化机制。部分组件会伪装成 FaxService 或 AudiosService 等看似合法的 Windows 服务以此躲避日常安全检查。另有模块初始化投放器将恶意 DLL 载荷打包在标记为 IIS32 和 IIS64 的资源文件中确保服务器每次重启后恶意代码都能自动恢复运行。在通信隐蔽性方面BadIIS 采用自定义 Base64 编码配合单字节 XOR 混淆技术来隐藏 C2 服务器地址有效规避常规安全扫描。针对诺顿等主流安全厂商的被动规避策略也被集成到更新版本中显示出运营者对抗安全检测的积极态度。快速迭代、功能分支化以及对特定杀软的定向绕过都表明这套工具目前仍处于活跃维护状态。企业防护建议与威胁情报指标面对如此狡猾的威胁服务器管理员亟需采取主动防御措施。定期审计已安装的 IIS 模块清单仔细检查 applicationHost.config 文件中是否存在未知或未经授权的条目是发现异常的第一步。同时应加强对 Web 服务器出站连接的监控任何指向可疑目的地的非预期流量都值得警惕。保持安全产品的特征库更新确保能识别 BadIIS 的特定签名同样是降低风险的关键环节。目前已知的入侵指标涵盖多个维度。ClamAV 检测特征包括 Win.Malware.BadIIS-10069981-0、Win.Malware.BadIIS-10069988-0、Win.Malware.BadIIS-10069984-0 及 Win.Malware.BadIIS-10069985-0 等签名。Snort 规则方面SID 1:66400、1:66439、1:66438 可用于 Snort2 环境检测并阻断相关恶意流量Snort3 环境则对应 1:66400 与 1:301498-1。文件层面需留意名为 IIS32、IIS64 的 DLL 载荷以及 config.txt、模块.txt 等配置文件。服务名称 Winlogin、用户代理字符串 lwxatisme以及包含 demo.pdb 和 lwxat 的 PDB 路径均属于高价值威胁情报指标。需要特别注意的是相关 IP 地址与域名已在情报报告中有意隐去建议在受控的威胁情报平台如 MISP、VirusTotal 或 SIEM 系统中重新启用并关联分析。网络安全形势日趋复杂BadIIS 这类针对服务器底层的威胁提醒我们必须将安全防护的视角从终端延伸至基础设施层面。唯有持续监控、及时响应才能在攻击者得手之前筑起坚实防线。
相关文章
如何设计一场让同事愿意听的技术分享?结构比内容更重要
一、为什么测试人的技术分享更需要“结构”?软件测试从业者有一种天然的思维优势:我们每天都在和“逻辑”“流程”“边界”打交道。测试策略的制定需要结构性拆解,缺陷的分析需要因果链追溯,自动化框架的设计更是对模块解耦能力的…
企业内训为什么经常无效?培训不是“讲完就行”
在当前快速迭代的软件研发周期中,软件测试早已不是“找Bug”那么简单,而是保障用户体验与产品质量的核心防线。然而,众多企业针对测试团队组织的内训却常常陷入“雷声大、雨点小”的尴尬境地:昂贵的自动化测试课程上了不少&#x…
SmoothQuant中LayerNorm前权重缩放约束
重磅预告:本专栏将独家连载系列丛书《智能体视觉技术与应用》部分精华内容,该书是世界首套系统阐述“因式智能体”视觉理论与实践的专著,特邀美国 TypeOne 公司首席科学家、斯坦福大学博士 Bohan 担任技术顾问。Bohan先生师从美国三院院士、“…
从零开始使用Taotoken API Key管理功能实现团队权限分级与审计
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 从零开始使用Taotoken API Key管理功能实现团队权限分级与审计 对于需要统一管理多个大模型服务的团队而言,如何安全、…
ChatGPT API接入全流程详解:从密钥配置、请求封装到错误重试、流式响应的7步落地指南
更多请点击: https://kaifayun.com 第一章:ChatGPT API接入的前置准备与核心概念 在正式调用 ChatGPT API 之前,需完成身份认证、环境配置与服务理解三类关键准备。OpenAI 平台不再提供免费配额的永久访问权限,所有开发者必须通过…
ChatGPT 2026智能体生态爆发(官方白皮书未公开的7个生产级约束条件)
更多请点击: https://kaifayun.com 第一章:ChatGPT 2026智能体生态爆发的范式跃迁 2026年,ChatGPT已不再仅是一个对话模型,而是演进为可自主编排、跨平台协同、具备实时环境感知与决策闭环能力的智能体(Agent…
千问 LeetCode 2565. 最少得分子序列 Java实现
这道题的核心思路是:删除t中的一个连续子串,让剩下的前缀后缀能拼成s的子序列。因为删除的区间越连续,得分(right - left 1)越小,所以我们本质上是在找最短的待删除子串长度。 下面给出Java实现ÿ…
CRM系统“没人爱用”的真相:Lovable架构的8个微交互锚点(附Figma组件库+埋点验证脚本)
更多请点击: https://kaifayun.com 第一章:CRM系统“没人爱用”的真相解构 CRM系统上线后使用率低迷、数据录入敷衍、销售团队避之不及——这不是个别现象,而是普遍存在的组织级失能。表面看是“员工不配合”,深层却是系统设计、…
千问 LeetCode 2569. 更新数组后处理求和查询 TypeScript实现
这道题的核心是高效维护 nums1 的区间反转操作,因为数据规模达到 10^5,暴力反转会超时。下面给出 TypeScript 实现,采用线段树 懒标记的方案。function handleQuery(nums1: number[], nums2: number[], queries: number[][]): number[] {con…
红黑树完全指南:从五条性质到完整插入删除实现
引言在前面的树系列中,我们学习了二叉搜索树(BST)和 AVL 树。AVL 树通过严格的平衡条件(|BF| ≤ 1)保证 O(log n) 的性能,但代价是删除操作可能触发 O(log n) 次旋转。红黑树(Red-Black Tree&am…
黎曼猜想:哲学 × 数学 思维范式全链条
黎曼猜想:哲学 数学 思维范式全链条 华夏之光永存|七大数学猜想思维范式全链条 第二篇开篇 黎曼猜想被公认为数学史上最伟大的未解难题。希尔伯特曾说:“如果我沉睡百年后醒来,第一个问题就是:黎曼猜想证明了吗&…
在Nodejs后端服务中集成稳定可靠的大模型能力
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 在Nodejs后端服务中集成稳定可靠的大模型能力 应用场景类,针对需要构建智能对话或内容生成功能的后端工程师࿰…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…