New Pingback Malware Menggunakan Tunneling ICMP untuk Menghindari Deteksi C&C

Pada hari Selasa peneliti mengungkapkan malware baru yang menggunakan berbagai trik untuk tetap berada di bawah radar dan menghindari deteksi, sementara secara diam-diam mampu menjalankan perintah arbitrary commands pada sistem yang terinfeksi.

Disebut 'Pingback,' malware Windows yang memanfaatkan tunneling Internet Control Message Protocol ( ICMP ) untuk komunikasi bot rahasia, memungkinkan musuh untuk memanfaatkan paket ICMP untuk mendukung code serangan, menurut analisis yang diterbitkan hari ini oleh Trustwave.

Pingback (" oci.dll ") mencapai ini dengan memuat melalui layanan sah yang disebut MSDTC (Microsoft Distributed Transaction Coordinator) - komponen yang bertanggung jawab untuk menangani operasi database yang didistribusikan ke beberapa mesin - dengan memanfaatkan metode yang disebut DLL search order hijacking , yang melibatkan penggunaan aplikasi asli untuk memuat file DLL berbahaya sebelumnya.

Penamaan malware sebagai salah satu plugin yang diperlukan untuk mendukung antarmuka Oracle ODBC di MSDTC adalah kunci serangan itu, catat para peneliti. Meskipun MSDTC tidak dikonfigurasi untuk berjalan secara otomatis saat startup, sampel VirusTotal yang dikirimkan pada Juli 2020 ditemukan untuk menginstal file DLL ke direktori Sistem Windows dan memulai layanan MSDTC untuk mencapai ketekunan, tentu hal itu sangat meningkatkan kemungkinan bahwa eksekusi terpisah sangat penting untuk menginstal malware.

Setelah eksekusi berhasil, Pingback menggunakan protokol ICMP untuk komunikasi utamanya. ICMP adalah protokol lapisan jaringan yang terutama digunakan untuk mengirim pesan kesalahan dan informasi operasional, Say, serta peringatan kegagalan ketika host lain tidak dapat dijangkau.

Secara khusus, Pingback memanfaatkan permintaan Echo (ICMP message type 8), dengan nomor urutan pesan 1234, 1235, dan 1236 yang menunjukkan jenis informasi yang terkandung dalam paket - 1234 menjadi perintah atau data, dan 1235 dan 1236 menjadi pengakuan untuk penerimaan data di sisi lain. Beberapa perintah yang didukung oleh malware termasuk kemampuan untuk menjalankan perintah shell arbitrary commands, mengunduh dan mengunggah file dari dan ke host penyerang, dan menjalankan perintah berbahaya pada mesin yang terinfeksi.

Penyelidikan terhadap rute intrusi awal malware sedang berlangsung.

"Penerusan ICMP bukanlah hal baru, tetapi sampel khusus ini menarik minat kami sebagai contoh malware di dunia nyata yang menggunakan teknik ini untuk menghindari deteksi," kata para peneliti. "ICMP berguna untuk diagnostik dan kinerja koneksi IP, tetapi juga dapat disalah gunakan oleh pelaku jahat untuk memindai dan memetakan lingkungan jaringan target. Meskipun kami tidak menyarankan agar ICMP dinonaktifkan, kami menyarankan untuk melakukan pemantauan. untuk membantu mendeteksi komunikasi terselubung melalui ICMP. "