Malware Pingback Baru Menggunakan Tunneling ICMP untuk Menghindari Deteksi C&C

  • Whatsapp
pingback-malware

Para peneliti pada hari Selasa mengungkapkan malware baru yang menggunakan berbagai trik untuk tetap berada di bawah radar dan menghindari deteksi, sementara secara diam-diam mampu menjalankan perintah sewenang-wenang pada sistem yang terinfeksi.

Disebut ‘Pingback,’ malware Windows memanfaatkan Internet Control Message Protocol (ICMP) tunneling untuk komunikasi bot rahasia, memungkinkan musuh untuk menggunakan paket ICMP ke kode serangan piggyback, menurut sebuah analisis diterbitkan hari ini oleh Trustwave.

Bacaan Lainnya

auditor kata sandi

Pingback (“oci.dll“) mencapai ini dengan memuat melalui layanan sah yang dipanggil MSDTC (Microsoft Distributed Transaction Coordinator) – komponen yang bertanggung jawab untuk menangani operasi database yang didistribusikan ke beberapa mesin – dengan memanfaatkan metode yang disebut Pembajakan perintah penelusuran DLL, yang melibatkan penggunaan aplikasi asli untuk memuat file DLL berbahaya.

Menamai malware sebagai salah satu plugin yang diperlukan untuk mendukung Oracle ODBC antarmuka di MSDTC adalah kunci serangan itu, catat para peneliti. Meskipun MSDTC tidak dikonfigurasi untuk berjalan secara otomatis saat startup, a Sampel VirusTotal dikirimkan pada Juli 2020 ditemukan menginstal file DLL ke direktori Sistem Windows dan memulai layanan MSDTC untuk mencapai ketekunan, meningkatkan kemungkinan bahwa eksekusi terpisah sangat penting untuk menginstal malware.

pingback-malware

Setelah eksekusi berhasil, Pingback menggunakan protokol ICMP untuk komunikasi utamanya. ICMP adalah protokol lapisan jaringan yang terutama digunakan untuk mengirim pesan kesalahan dan informasi operasional, katakanlah, peringatan kegagalan ketika host lain tidak dapat dijangkau.

Secara khusus, Pingback memanfaatkan permintaan Echo (tipe pesan ICMP 8), dengan nomor urutan pesan 1234, 1235, dan 1236 yang menunjukkan jenis informasi yang terkandung dalam paket – 1234 menjadi perintah atau data, dan 1235 dan 1236 menjadi pengakuan untuk penerimaan data di sisi lain. Beberapa perintah yang didukung oleh malware termasuk kemampuan untuk menjalankan perintah shell sewenang-wenang, mengunduh dan mengunggah file dari dan ke host penyerang, dan menjalankan perintah berbahaya pada mesin yang terinfeksi.

Penyelidikan terhadap rute intrusi awal malware sedang berlangsung.

“Penerusan ICMP bukanlah hal baru, tetapi sampel khusus ini menarik minat kami sebagai contoh malware di dunia nyata yang menggunakan teknik ini untuk menghindari deteksi,” kata para peneliti. “ICMP berguna untuk diagnostik dan kinerja koneksi IP, [but] itu juga dapat disalahgunakan oleh pelaku jahat untuk memindai dan memetakan lingkungan jaringan target. Meskipun kami tidak menyarankan bahwa ICMP harus dinonaktifkan, kami menyarankan untuk melakukan pemantauan untuk membantu mendeteksi komunikasi terselubung melalui ICMP. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *