研究人员近日披露了一种新颖的恶意软件,该恶意软件使用各种技巧来躲避雷达并逃避检测,同时能够隐匿地在受感染的系统上执行任意命令。
Trustwave今天发布的一份分析报告称,这种被称为“ Pingback”的Windows恶意软件利用Internet控制消息协议(ICMP)隧道进行秘密机器人通信,从而允许对手利用ICMP数据包来搭载攻击代码。
Pingback(“ oci.dll ”)通过使用称为MSDTC(Microsoft分布式事务处理协调器)的合法服务进行加载来实现此目的,MSDTC是负责处理分布在多台计算机上的数据库操作的组件,它利用一种称为DLL搜索顺序的方法劫持,其中涉及使用真正的应用程序来预加载恶意DLL文件。
研究人员指出,将恶意软件命名为支持MSDTC中的Oracle ODBC接口所需的插件之一是攻击的关键。虽然未将MSDTC配置为在启动时自动运行,但发现2020年7月提交的VirusTotal示例将DLL文件安装到Windows System目录中,并启动MSDTC服务以实现持久性,从而增加了单独的可执行文件对安装恶意软件。
成功执行后,Pingback会使用ICMP协议进行主要通信。ICMP是一种网络层协议,主要用于在其他主机无法访问时发送错误消息和操作信息,例如故障警报。
具体来说,Pingback利用了Echo请求(ICMP消息类型8),其中消息序列号1234、1235和1236表示数据包中包含的信息类型,其中1234是命令或数据,而1235和1236是数据包。确认接收另一端的数据。恶意软件支持的某些命令包括以下功能:运行任意的Shell命令,从攻击者的主机下载文件和将文件上传到攻击者的主机,以及在受感染的计算机上执行恶意命令。
正在对该恶意软件的初始入侵路径进行调查。
研究人员说:“ ICMP隧道技术并不是新生事物,但是这个特殊的样本激起了我们对使用这种技术来逃避检测的恶意软件的真实示例的兴趣。” “ ICMP对于IP连接的诊断和性能很有用,[但是]恶意行为者也可能滥用它来扫描和映射目标的网络环境。尽管我们不建议禁用ICMP,但我们建议进行监视以帮助检测通过ICMP进行的此类秘密通信。”
*编译:Domino
*来自:thehackernews