Pingback Malware

Pingback adlı kötü amaçlı bir Windows tehdidinin ayrıntıları, Trustwave tarafından yayınlanan bir blog gönderisinde özetlenmiştir. Bu özel tehdit, Komut ve Kontrol (C2, C&C) sunucularıyla iletişim için ICMP'ye (İnternet Kontrol Mesajı Protokolü) güvenmesi nedeniyle araştırmacıların dikkatini çekti. Ek olarak, tehdit, DLL Hijacking tekniğinde meşru bir Windows hizmetinden yararlanır.

Pingback kötü amaçlı yazılımı, Windows işletim sisteminin 'Sistem' klasörüne bırakılan ve 'oci.dll' adlı oldukça küçük boyutlu, yalnızca 66 KB'lik bir DLL dosyasından oluşur. Bozuk dosya, normal rundll32.exe tarafından yüklenmek yerine, msdtc (Microsoft Dağıtılmış İşlem Kontrolü) adlı başka bir meşru Windows işlemini 'oci.dll'yi çalıştırmaya zorlamak için DLL korsanlığını kullanır.

İlk Uzlaşma Vektörü

Şimdiye kadar, Pingback'i sunmak için kullanılan ilk vektör% 100 kesinlikle belirlenmedi. Bununla birlikte, belirli kanıtlar, 'updata.exe' adlı başka bir kötü amaçlı yazılım örneğinin işin içinde olabileceğini göstermektedir. Sonuçta, 'updata.exe' analizi, msdtc'nin davranışını değiştiren bir dizi komut çalıştırırken 'oci.dll' dosyasını düşürdüğünü ortaya çıkardı:

sc msdtc'yi durdur
sc config msdtc obj = Localsystem start = auto
sc msdtc'yi başlat

ICMP aracılığıyla iletişim

Pingback kötü amaçlı yazılımı, tehlikeye atılan sistemde kendini kurduktan sonra, tehdit aktörünün rastgele komutlar başlatmasına izin verir. Ancak bundan önce, tehdidin C2 sunucuları ile iletişim kurması gerekir. Pingback'in yaratıcıları, zararlı araçlar ve sunucuları arasındaki ileri geri trafiği taşımak için ICMP'ye güvenerek oldukça yeni bir yaklaşım uygulamaya karar verdiler. ICMP ne bağlantı noktaları gerektirdiğinden ne de TCP veya UDP'ye dayandığından, tehdidin kullanıcıdan etkili bir şekilde gizlenmesini sağlar. Uygulamada, tehdit belirli teşhis araçlarıyla tespit edilemez.

Pingback, virüslü sistem tarafından alınan her ICMP paketine bakar ve 1234, 1235 ve 1236 sıra numaralarına sahip olanları seçer. 1235 ve 1236 paketleri, her iki uçta da bir istek alındığına dair bir onay görevi görürken, 1234 paketi tehdit aktörünün gerçek güvenli olmayan komutlarını taşır. C2'den gelen veriler kabuk, indirme, çalıştırma, yükleme ve daha fazlası gibi komutlar içerebilir.

Trustweave blog yayını, Pingback kötü amaçlı yazılımıyla ilişkili belirli Uzlaşma Göstergeleri (IoC) sağlar:

Dosya: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Ağ:
ICMP Türü = 8
Sıra Numarası: 1234 | 1235 | 1236
Veri boyutu: 788 bayt