Pingback Malware

Oplysningerne om en ejendommelig Windows-trussel ved navn Pingback malware er beskrevet i et blogindlæg frigivet af Trustwave. Denne særlige trussel fangede forskernes opmærksomhed på grund af deres afhængighed af ICMP (Internet Control Message Protocol) til kommunikation med dens Command-and-Control (C2, C&C) servere. Derudover udnytter truslen en legitim Windows-tjeneste i en DLL-kapringsteknik.

Pingback-malware består af en ret lille størrelse, kun 66 KB, DLL-fil med navnet 'oci.dll', der typisk falder inde i 'System' -mappen i Windows OS. I stedet for at blive indlæst af den sædvanlige rundll32.exe bruger den beskadigede fil DLL-kapring til at tvinge en anden legitim Windows-proces ved navn msdtc (Microsoft Distribueret Transaktionskontrol) til at udføre 'oci.dll.'

Indledende kompromisvektor

Indtil videre er den oprindelige vektor, der blev brugt til at levere Pingback, ikke etableret med 100% sikkerhed. Visse beviser tyder dog på, at en anden malware-prøve ved navn 'updata.exe' muligvis er involveret. Når alt kommer til alt, har analyse af 'updata.exe' afsløret, at den taber 'oci.dll' filen, mens den også udfører en række kommandoer, der ændrer adfærden af msdtc:

sc stop msdtc
sc config msdtc obj = Lokalt system start = auto
sc start msdtc

Kommunikation gennem ICMP

Efter at have etableret sig på det kompromitterede system tillader Pingback-malware trusselsaktøren at starte vilkårlige kommandoer. Før det skal truslen dog etablere kommunikation med sine C2-servere. Skaberne af Pingback har besluttet at implementere en ret ny tilgang ved at stole på ICMP til at transportere frem og tilbage trafik mellem de skadelige værktøjer og deres servere. Det tillader, at truslen effektivt forbliver skjult for brugeren, da ICMP hverken kræver porte eller er afhængige af TCP eller UDP. I praksis kan truslen ikke detekteres af visse diagnostiske værktøjer.

Pingback ser på hver ICMP-pakke, der modtages af det inficerede system, og vælger dem, der har sekvensnumre på 1234, 1235 og 1236. Mens 1235- og 1236-pakkerne tjener som en bekræftelse på, at der er modtaget en anmodning i begge ender, er 1234-pakken bærer de aktuelle usikre kommandoer fra trusselsaktøren. Dataene fra C2 kan indeholde kommandoer som shell, download, exec, upload og mere.

Trustweave-blogindlægget indeholder visse indikatorer for kompromis (IoC) tilknyttet Pingback-malware:

Fil: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Netværk:
ICMP-type = 8
Sekvensnummer: 1234 | 1235 | 1236
Datastørrelse: 788 bytes