Pingback惡意軟件

Trustwave發布的博客文章中概述了一種名為Pingback惡意軟件的特殊Windows威脅的詳細信息。這種特殊的威脅由於依賴於ICMP（Internet控制消息協議）與其命令和控制（C2，C＆C）服務器進行通信而引起了研究人員的注意。另外，該威脅利用DLL劫持技術利用合法的Windows服務。

Pingback惡意軟件由一個很小的，只有66KB的名為“ oci.dll”的DLL文件組成，通常被放置在Windows OS的“ System”文件夾中。損壞的文件未使用通常的rundll32.exe加載，而是使用DLL劫持來強制另一個名為msdtc（Microsoft分佈式事務控制）的合法Windows進程執行“ oci.dll”。

初始折衷向量

到目前為止，尚未100％地確定用於傳遞Pingback的初始向量。但是，某些證據表明可能涉及另一個名為“ updata.exe”的惡意軟件樣本。畢竟，對“ updata.exe”的分析表明，它刪除了“ oci.dll”文件，同時還執行了一系列修改msdtc行為的命令：

sc停止msdtc
sc config msdtc obj = Localsystem start =自動
sc啟動msdtc

通過ICMP進行通信

在受感染的系統上建立自身之後，Pingback惡意軟件允許威脅參與者發起任意命令。但是，在此之前，威脅必須與其C2服務器建立通信。 Pingback的創建者已決定依靠ICMP在有害工具與其服務器之間進行來回通信，從而實施一種相當新穎的方法。由於ICMP既不需要端口也不依賴TCP或UDP，因此它可以使威脅有效地對用戶隱藏。實際上，某些診斷工具無法檢測到該威脅。

Pingback會查看受感染系統收到的每個ICMP數據包，並選擇序列號為1234、1235和1236的ICMP數據包。雖然1235和1236數據包用作確認已在任一端收到請求的確認，但1234數據包攜帶威脅行為者的實際不安全命令。 C2中的數據可以包含諸如shell，下載，執行，上傳等命令。

Trustweave博客文章提供了與Pingback惡意軟件相關的某些危害指標（IoC）：

檔案：oci.dll
SHA256：E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1：0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5：264C2EDE235DC7232D673D4748437969

網絡：
ICMP類型= 8
序列號：1234 | 1235 | 1236
資料大小：788位元組