文章总结： 本文介绍了专门利用IIS业务挂载黑链的黑产组织IIS_hijack的攻击手法，该组织利用多种web漏洞入侵系统，通过驱动劫持实现网页篡改，文章详细描述了攻击流程、技术细节并提供IOC指标及排查方法，建议使用fltmc命令检查CcProtect驱动并搜索相关恶意文件进行防护。 综合评分： 88 文章分类： 漏洞分析,应急响应,威胁情报,WEB安全,内网渗透

揭秘：专门利用IIS业务挂载黑链的黑产组织

原创

安服仔的救赎

安服仔的救赎

2025年6月25日 11:28

一、前言

近期，发现多种告警事件：“黑链”、“通报”、“webshell通信”，经过排查定位，还原该组织的整个攻击行为特征。由于该组织的攻击特性，我将其命名为：“IIS_hijack”组织：一个专门利用IIS搭建web业务的挂载黑链的黑产组织。

该黑灰产组织主要利用web漏洞进行入侵，利用驱动劫持的方式实现网页篡改。后面又发现该组织通过ViewState反序列化等多个漏洞进行利用命令执行，实现网页篡改的目的。

二、异常告警

1、黑链现象

当访问的url中包含“hot|iis|web|video|vod|soft|xiazai|ios|android|down|iphone|txt|vod|xsn|cp|gov|edu|apk”字符串（内存检索w3wp.exe看到的，不同的配置文件字符串应该会变）会导致跳转。

2、webshell现象

安全设备监测到主机存在冰蝎4.0流量通信

三、攻击手法

1、该组织利用IIS业务相关漏洞获取主机权限（目前已知利用Ueditor、ViewState反序列化、各类cms的上传或反序列化，影响范围越来越广，传播方式越来越多，对坑手法越来越强，注意防护。），上传webshell，随后将webshell时间修改跟业务文件创建时间一致，以此达到权限维持的目的。

2、在获取主机权限后，继续进行“提权”、“搭建正向代理”、“创建隐藏账号”等操作，登录主机。

3、使用账号通过RDP登录主机后，使用：“CnCrypt Protect”工具创建规则，安装名为“CcProtect”的驱动，规则中将IIS访问时调用的cachhttp.dll进行劫持，重定向至存在恶意劫持代码的dll文件：“WsmRes(64/32).idx”,以此达到劫持的目的，除此之外，驱动还隐藏了服务：WalletServiceinfo。

4、驱动隐藏的服务。

四、IOC

45.204.217[.]98

222.112.248[.]181

47.238.203[.]107

185.196.10[.]121

154.92.14[.]41

154.221.17[.]44

124.222.123[.]163

五、排查方法

1、使用“fltmc”命令排查主机是否被安装名为：“CcProtect”的驱动； 2、使用everything等搜查工具，搜索服务器上是否存在相关劫持的恶意驱动：“Ccprotect.sys”、“Ccprotect.ccf”（注意：核实是否业务正常使用，若是，可忽略）；

3、如遇到everything和CnCrypt Protect无法运行可联系我提供改特征版本。（加好友时请备注）

‍

微信交流群：

如果觉得我的文章写的不错，可以关注下！

往期内容：

蓝队值守利器-IP白名单过滤与溯源工具2.0GUI版本发布

查看原文：《揭秘：专门利用IIS业务挂载黑链的黑产组织》