Pingback Malware

Szczegóły szczególnego zagrożenia dla systemu Windows o nazwie Pingback zostały przedstawione w poście na blogu opublikowanym przez firmę Trustwave. To szczególne zagrożenie zwróciło uwagę badaczy ze względu na zależność od protokołu ICMP (Internet Control Message Protocol) do komunikacji z serwerami Command-and-Control (C2, C&C). Ponadto zagrożenie wykorzystuje legalną usługę systemu Windows w technice przechwytywania bibliotek DLL.

Szkodliwe oprogramowanie Pingback składa się z dość małego, zaledwie 66 KB, pliku DLL o nazwie „oci.dll”, który jest zwykle umieszczany w folderze „System” systemu operacyjnego Windows. Zamiast ładowania przez zwykły program rundll32.exe, uszkodzony plik wykorzystuje przechwytywanie DLL, aby zmusić inny legalny proces systemu Windows o nazwie msdtc (Microsoft Distributed Transaction Control) do wykonania „oci.dll”.

Początkowy wektor kompromisu

Jak dotąd początkowy wektor użyty do dostarczenia Pingbacka nie został ustalony ze 100% pewnością. Pewne dowody sugerują jednak, że może być zaangażowana inna próbka złośliwego oprogramowania o nazwie „updata.exe”. W końcu analiza „updata.exe” ujawniła, że porzuca on plik „oci.dll”, jednocześnie wykonując serię poleceń, które modyfikują zachowanie msdtc:

sc stop msdtc
sc config msdtc obj = Localsystem start = auto
sc start msdtc

Komunikacja przez ICMP

Po ustanowieniu się w zaatakowanym systemie szkodliwe oprogramowanie Pingback umożliwia hakerowi uruchamianie dowolnych poleceń. Jednak wcześniej zagrożenie musi nawiązać komunikację ze swoimi serwerami C2. Twórcy Pingback zdecydowali się zaimplementować dość nowatorskie podejście, polegając na ICMP do przenoszenia ruchu między szkodliwymi narzędziami a ich serwerami. Pozwala skutecznie ukryć zagrożenie przed użytkownikiem, ponieważ protokół ICMP nie wymaga portów ani nie opiera się na protokołach TCP ani UDP. W praktyce zagrożenie jest niewykrywalne przez niektóre narzędzia diagnostyczne.

Pingback sprawdza każdy pakiet ICMP odebrany przez zainfekowany system i wybiera te, które mają numery sekwencyjne 1234, 1235 i 1236. Podczas gdy pakiety 1235 i 1236 służą jako potwierdzenie, że żądanie zostało odebrane na dowolnym końcu, pakiet 1234 przenosi rzeczywiste niebezpieczne polecenia aktora zagrożenia. Dane z C2 mogą zawierać polecenia, takie jak powłoka, pobieranie, wykonanie, przesyłanie i inne.

Wpis na blogu Trustweave zawiera pewne wskaźniki naruszenia bezpieczeństwa (IoC) związane ze złośliwym oprogramowaniem Pingback:

Plik: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Sieć:
Typ ICMP = 8
Numer kolejny: 1234 | 1235 | 1236
Rozmiar danych: 788 bajtów