Pingback Malware

Por Mezo em Backdoors

Traduzir Para:

Os detalhes de uma ameaça peculiar do Windows chamada Pingback Malware foram descritos em um post de blog divulgado pela Trustwave. Essa ameaça em particular chamou a atenção dos pesquisadores por depender do ICMP (Internet Control Message Protocol) para comunicação com seus servidores de comando e controle (C2, C&C). Além disso, a ameaça tira proveito de um serviço legítimo do Windows em uma técnica de sequestro de DLL.

O malware Pingback consiste em um arquivo DLL de tamanho bastante pequeno, de apenas 66 KB, chamado 'oci.dll', que normalmente fica dentro da pasta 'Sistema' do sistema operacional Windows. Em vez de ser carregado pelo rundll32.exe usual, o arquivo corrompido usa o sequestro de DLL para forçar outro processo legítimo do Windows chamado msdtc (Microsoft Distributed Transaction Control) a executar 'oci.dll'.

Vetor Inicial de Comprometimento

Até agora, o vetor inicial usado para entregar o Pingback não foi estabelecido com 100% de certeza. Certas evidências, no entanto, sugerem que outra amostra de malware chamada 'updata.exe' pode estar envolvida. Afinal, a análise de 'updata.exe' revelou que ele descarta o arquivo 'oci.dll' enquanto executa uma série de comandos que modificam o comportamento do msdtc:

sc parar msdtc
sc config msdtc obj = Localsystem start = auto
sc start msdtc

Comunicação através de ICMP

Depois de se estabelecer no sistema comprometido, o malware Pingback permite que o agente da ameaça lance comandos arbitrários. Antes disso, no entanto, a ameaça deve estabelecer comunicação com seus servidores C2. Os criadores do Pingback decidiram implementar uma abordagem bastante inovadora, contando com o ICMP para transportar o tráfego de ida e volta entre as ferramentas prejudiciais e seus servidores. Ele permite que a ameaça permaneça efetivamente oculta do usuário, pois o ICMP não requer portas nem depende de TCP ou UDP. Na prática, a ameaça é indetectável por certas ferramentas de diagnóstico.

O Pingback analisa cada pacote ICMP recebido pelo sistema infectado e seleciona aqueles que têm os números de sequência 1234, 1235 e 1236. Enquanto os pacotes 1235 e 1236 servem como uma confirmação de que uma solicitação foi recebida em uma das extremidades, o pacote 1234 carrega os comandos inseguros reais do ator da ameaça. Os dados do C2 podem conter comandos como shell, download, exec, upload e muito mais.

A postagem do blog Trustweave fornece certos indicadores de comprometimento (IoC) associados ao malware Pingback:

Arquivo: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Rede:
Tipo ICMP = 8
Número de sequência: 1234 | 1235 | 1236
Tamanho dos dados: 788 bytes

Buscar

Mudar de região

Pingback Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela