Pingback Malware

पिंगबैक मैलवेयर नामक एक अजीबोगरीब विंडोज खतरे का विवरण ट्रस्टवेव द्वारा जारी एक ब्लॉग पोस्ट में उल्लिखित किया गया है। इस विशेष खतरे ने अपने कमांड-एंड-कंट्रोल (C2, C & C) सर्वर के साथ संचार के लिए ICMP (इंटरनेट कंट्रोल मैसेज प्रोटोकॉल) पर निर्भरता के कारण शोधकर्ताओं का ध्यान आकर्षित किया। इसके अलावा, धमकी एक DLL अपहरण तकनीक में एक वैध विंडोज सेवा का लाभ उठाती है।

पिंगबैक मैलवेयर में आकार की जगह छोटा होता है, सिर्फ 66KB, 'oci.dll' नाम की DLL फ़ाइल, जो आमतौर पर विंडोज ओएस के 'सिस्टम' फ़ोल्डर के अंदर गिरा दी जाती है। सामान्य रूप से rundll32.exe द्वारा लोड किए जाने के बजाय, दूषित फ़ाइल DLL अपहरण का उपयोग करके एक अन्य वैध विंडोज प्रक्रिया को लागू करने के लिए मजबूर करती है जिसका नाम msdtc (Microsoft वितरित लेन-देन नियंत्रण) है जिसे 'oci.dll' निष्पादित करने के लिए।

प्रारंभिक समझौता वेक्टर

अब तक, पिंगबैक को वितरित करने के लिए उपयोग किए जाने वाले प्रारंभिक वेक्टर को 100% निश्चितता के साथ स्थापित नहीं किया गया है। हालाँकि, कुछ सबूत बताते हैं कि 'updata.exe' नाम का एक और मैलवेयर नमूना शामिल हो सकता है। आखिरकार, 'updata.exe' के विश्लेषण से पता चला है कि यह msdtc के व्यवहार को संशोधित करने वाली आदेशों की एक श्रृंखला को निष्पादित करते हुए 'oci.dll' फ़ाइल को गिराता है:

sc स्टॉप msdtc
sc config msdtc obj = स्थानीयकरण प्रारंभ = ऑटो
sc start msttc

ICMP के माध्यम से संचार

समझौता प्रणाली पर खुद को स्थापित करने के बाद, पिंगबैक मैलवेयर खतरे के अभिनेता को मनमाना आदेशों को लॉन्च करने की अनुमति देता है। हालांकि, इससे पहले, खतरे को अपने C2 सर्वर के साथ संचार स्थापित करना चाहिए। पिंगबैक के रचनाकारों ने हानिकारक साधनों और उनके सर्वर के बीच आगे-पीछे के ट्रैफ़िक को ले जाने के लिए ICMP पर भरोसा करके एक उपन्यास उपन्यास दृष्टिकोण को लागू करने का निर्णय लिया है। यह खतरे को प्रभावी ढंग से उपयोगकर्ता से छिपाए रखने की अनुमति देता है क्योंकि ICMP को न तो पोर्ट की आवश्यकता होती है और न ही TCP या UDP पर निर्भर होती है। व्यवहार में, कुछ निश्चित निदान उपकरणों द्वारा खतरा स्पष्ट नहीं है।

पिंगबैक संक्रमित प्रणाली द्वारा प्राप्त प्रत्येक ICMP पैकेट को देखता है और 1234, 1235, और 1236 के अनुक्रम संख्या वाले लोगों का चयन करता है। जबकि 1235 और 1236 पैकेट एक पुष्टि के रूप में काम करते हैं कि दोनों ओर से अनुरोध प्राप्त हुआ है, 1234 पैकेट खतरे वाले अभिनेता की वास्तविक असुरक्षित आज्ञाओं को वहन करता है। C2 के डेटा में शेल, डाउनलोड, निष्पादन, अपलोड और अधिक जैसे कमांड हो सकते हैं।

ट्रस्टविएव ब्लॉग पोस्ट पिंगबैक मैलवेयर के साथ जुड़े कुछ विशिष्ट संकेतक (आईओसी) प्रदान करता है:

फाइल: oci.dll
SHA256: E50943D9F361830502DCDB00971CBEE76877AA7366524542727818147523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

नेटवर्क:
ICMP प्रकार = 8
क्रम संख्या: 1234 | 1235 | 1236 |
डेटा का आकार: 788 बाइट्स