Pingback Malware

Detaljerna i ett märkligt Windows-hot med namnet Pingback malware har beskrivits i ett blogginlägg som släppts av Trustwave. Detta speciella hot fick forskarnas uppmärksamhet på grund av dess beroende av ICMP (Internet Control Message Protocol) för kommunikation med sina Command-and-Control (C2, C&C) servrar. Dessutom utnyttjar hotet en legitim Windows-tjänst i en DLL-kapningsteknik.

Pingback-skadlig programvara består av en ganska liten storlek, bara 66 KB, DLL-fil med namnet 'oci.dll' som vanligtvis släpps i mappen 'System' i Windows OS. Istället för att laddas av den vanliga rundll32.exe använder den skadade filen DLL-kapning för att tvinga en annan legitim Windows-process som heter msdtc (Microsoft Distribuerad Transaktionskontroll) för att utföra 'oci.dll.'

Inledande kompromissvektor

Hittills har den ursprungliga vektorn som används för att leverera Pingback inte fastställts med 100% säkerhet. Vissa bevis tyder emellertid på att ett annat malware-prov med namnet 'updata.exe' kan vara inblandat. När allt kommer omkring har analys av 'updata.exe' visat att den släpper filen 'oci.dll' samtidigt som den kör en serie kommandon som ändrar beteendet hos msdtc:

sc stoppa msdtc
sc config msdtc obj = Lokalt system start = auto
sc start msdtc

Kommunikation via ICMP

Efter att ha etablerat sig på det komprometterade systemet tillåter skadlig programvara Pingback hotaktören att starta godtyckliga kommandon. Innan det måste dock hotet skapa kommunikation med sina C2-servrar. Skaparna av Pingback har beslutat att genomföra ett ganska nytt tillvägagångssätt genom att förlita sig på ICMP att transportera fram och tillbaka-trafiken mellan de skadliga verktygen och deras servrar. Det gör att hotet effektivt kan förbli dolt för användaren eftersom ICMP varken kräver portar eller förlitar sig på TCP eller UDP. I praktiken kan hotet inte detekteras av vissa diagnostikverktyg.

Pingback tittar på alla ICMP-paket som tas emot av det infekterade systemet och väljer de som har sekvensnummer 1234, 1235 och 1236. Medan paketen 1235 och 1236 fungerar som en bekräftelse på att en begäran har mottagits i båda ändarna, är paketet 1234 bär de faktiska osäkra kommandona från hotaktören. Data från C2 kan innehålla kommandon som shell, download, exec, upload och mer.

Trustweave-blogginlägget innehåller vissa indikatorer för kompromiss (IoC) associerade med Pingback-skadlig programvara:

Fil: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Nätverk:
ICMP-typ = 8
Sekvensnummer: 1234 | 1235 | 1236
Datastorlek: 788 byte