Pingback Malware

De details van een eigenaardige Windows-dreiging genaamd Pingback-malware zijn uiteengezet in een blogpost uitgegeven door Trustwave. Deze specifieke dreiging trok de aandacht van de onderzoekers vanwege zijn afhankelijkheid van ICMP (Internet Control Message Protocol) voor communicatie met zijn Command-and-Control (C2, C&C) servers. Bovendien maakt de dreiging gebruik van een legitieme Windows-service in een DLL-kapingtechniek.

De Pingback-malware bestaat uit een vrij klein DLL-bestand van slechts 66 KB met de naam 'oci.dll' dat doorgaans in de map 'Systeem' van het Windows-besturingssysteem wordt geplaatst. In plaats van te worden geladen door het gebruikelijke rundll32.exe, gebruikt het beschadigde bestand DLL-kaping om een ander legitiem Windows-proces genaamd msdtc (Microsoft Distributed Transaction Control) te dwingen 'oci.dll' uit te voeren.

Eerste compromis Vector

Tot nu toe is de initiële vector die wordt gebruikt om Pingback af te leveren niet met 100% zekerheid vastgesteld. Er zijn echter bepaalde aanwijzingen dat er mogelijk een ander malwaremonster met de naam 'updata.exe' bij betrokken is. Uit de analyse van 'updata.exe' is immers gebleken dat het bestand 'oci.dll' wordt verwijderd en tegelijkertijd een reeks opdrachten wordt uitgevoerd die het gedrag van msdtc wijzigen:

sc stop msdtc
sc config msdtc obj = Localsystem start = auto
sc start msdtc

Communicatie via ICMP

Nadat de Pingback-malware zich op het gecompromitteerde systeem heeft gevestigd, kan de bedreigingsacteur willekeurige opdrachten starten. Voordien moet de dreiging echter communicatie tot stand brengen met zijn C2-servers. De makers van Pingback hebben besloten een vrij nieuwe benadering te implementeren door te vertrouwen op ICMP om het heen-en-weer verkeer tussen de schadelijke tools en hun servers te transporteren. Het zorgt ervoor dat de dreiging effectief verborgen blijft voor de gebruiker, aangezien ICMP geen poorten nodig heeft en ook niet afhankelijk is van TCP of UDP. In de praktijk is de dreiging niet detecteerbaar door bepaalde diagnosetools.

Pingback kijkt naar elk ICMP-pakket dat door het geïnfecteerde systeem wordt ontvangen en selecteert degene met de volgnummers 1234, 1235 en 1236. Terwijl de 1235- en 1236-pakketten dienen als een bevestiging dat een verzoek aan beide uiteinden is ontvangen, is het 1234-pakket draagt de feitelijke onveilige commando's van de dreigingsacteur. De gegevens van de C2 kunnen commando's bevatten zoals shell, download, exec, upload en meer.

De Trustweave-blogpost biedt bepaalde Indicators of Compromise (IoC) die verband houden met de Pingback-malware:

Bestand: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Netwerk:
ICMP-type = 8
Volgnummer: 1234 | 1235 | 1236
Gegevensgrootte: 788 bytes