Pingback恶意软件

Trustwave发布的博客文章中概述了一种名为Pingback恶意软件的特殊Windows威胁的详细信息。这种特殊的威胁由于依赖于ICMP（Internet控制消息协议）与其命令和控制（C2，C＆C）服务器进行通信而引起了研究人员的注意。另外，该威胁利用DLL劫持技术利用合法的Windows服务。

Pingback恶意软件由一个很小的，只有66KB的名为“ oci.dll”的DLL文件组成，通常被放置在Windows OS的“ System”文件夹中。损坏的文件未使用通常的rundll32.exe加载，而是使用DLL劫持来强制另一个名为msdtc（Microsoft分布式事务控制）的合法Windows进程执行“ oci.dll”。

初始折衷向量

到目前为止，尚未100％地确定用于传递Pingback的初始向量。但是，某些证据表明可能涉及另一个名为“ updata.exe”的恶意软件样本。毕竟，对“ updata.exe”的分析表明，它删除了“ oci.dll”文件，同时还执行了一系列修改msdtc行为的命令：

sc停止msdtc
sc config msdtc obj = Localsystem start =自动
sc启动msdtc

通过ICMP进行通信

在受感染的系统上建立自身之后，Pingback恶意软件允许威胁参与者发起任意命令。但是，在此之前，威胁必须与其C2服务器建立通信。 Pingback的创建者已决定依靠ICMP在有害工具与其服务器之间进行来回通信，从而实施一种相当新颖的方法。由于ICMP既不需要端口也不依赖TCP或UDP，因此它可以使威胁有效地对用户隐藏。实际上，某些诊断工具无法检测到该威胁。

Pingback会查看受感染系统收到的每个ICMP数据包，并选择序列号为1234、1235和1236的ICMP数据包。虽然1235和1236数据包用作确认已在任一端收到请求的确认，但1234数据包携带威胁行为者的实际不安全命令。 C2中的数据可以包含诸如shell，下载，执行，上传等命令。

Trustweave博客文章提供了与Pingback恶意软件相关的某些危害指标（IoC）：

档案：oci.dll
SHA256：E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1：0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5：264C2EDE235DC7232D673D4748437969

网络：
ICMP类型= 8
序列号：1234 | 1235 | 1236
资料大小：788位元组