Срочно. Новый зловред Pingback использует туннелирование ICMP
Специалисты рекомендуют немедленно установить мониторинг канала
Во вторник исследователи раскрыли новую вредоносную программу, которая использует различные уловки, чтобы оставаться незамеченной и уклоняться от обнаружения, при этом незаметно способная выполнять произвольные команды в заражённых системах.Новый зловред Pingback использует туннелирование ICMP. Фото: Pixabay
Согласно анализу, опубликованному сегодня Trustwave, вредоносное ПО для Windows, получившее название «Pingback», использует туннелирование протокола управляющих сообщений Интернета ( ICMP ) для скрытых коммуникаций между ботами, позволяя злоумышленнику использовать пакеты ICMP для совмещения кода атаки, сообщает The Hacker news.
Pingback (" oci.dll ") достигает этого, загружаясь через законную службу MSDTC (координатор распределённых транзакций Microsoft) — компонент, отвечающий за обработку операций с базой данных, которые распределены по нескольким машинам с помощью метода, называемого порядком поиска DLL. Он включает использование подлинного приложения для предварительной загрузки вредоносного файла DLL.
Исследователи отметили, что название вредоносной программы как одного из плагинов, необходимых для поддержки интерфейса Oracle ODBC в MSDTC, является ключом к атаке. Хотя MSDTC не настроен для автоматического запуска при запуске, было обнаружено, что образец VirusTotal, представленный в июле 2020 года, устанавливает файл DLL в системный каталог Windows и запускает службу MSDTC для достижения постоянства, что повышает вероятность того, что отдельный исполняемый файл имеет решающее значение для установки вредоносного ПО.
После успешного выполнения Pingback прибегает к использованию протокола ICMP для своей основной связи. ICMP - это протокол сетевого уровня, который в основном используется для отправки сообщений об ошибках и оперативной информации, например, предупреждения о сбое, когда другой хост становится недоступным.
В частности, Pingback использует эхо-запрос (тип сообщения ICMP 8), при этом порядковые номера сообщений 1234, 1235 и 1236 обозначают тип информации, содержащейся в пакете: 1234 - это команда или данные, а 1235 и 1236 - подтверждение получения данных на другом конце. Некоторые из команд, поддерживаемых вредоносным ПО, включают возможность запускать произвольные команды оболочки, загружать и выгружать файлы с и на хост злоумышленника, а также выполнять вредоносные команды на заражённой машине.
Расследование первоначального маршрута проникновения вредоносного ПО продолжается.
Исследователи безопасности Trustwave: «ICMP-туннелирование не ново, но этот конкретный образец вызвал у нас интерес как реальный пример вредоносного ПО, использующего эту технику для уклонения от обнаружения. ICMP полезен для диагностики и производительности IP-соединений, [но] он также может быть использован злоумышленниками для сканирования и сопоставления сетевой среды цели. Хотя мы не предлагаем отключать ICMP, мы все же предлагаем установить мониторинг, чтобы помочь обнаружить такую скрытую связь по протоколу ICMP».
Комментариев пока не было