Facebook Linkedin Twitter Instagram Youtube Telegram

El malware Pingback usa ICMP para la comunicación encubierta

Descubierto un nuevo malware de Windows que utiliza el Protocolo de mensajes de control de Internet para sus actividades C2

El malware, llamado Pingback, se dirige a los sistemas Microsoft Windows de 64 bits y los sacude. Y además, utiliza la técnica de secuestro de DLL para establecer la persistencia en el sistema infectado. Y pretende llevar a cabo actividades de comando y control.

¿Qué ha sucedido?

Expertos en ciberseguridad, en concreto, un investigador principal de seguridad y un arquitecto senior han publicado sus hallazgos sobre Pingback. Han descubierto que el malware utiliza el protocolo de mensajes de control de Internet (ICMP)  para la comunicación.

Primero, los investigadores descubrieron un archivo malicioso identificado como oci. Dll. Este archivo DLL de 66 KB se coloca en la carpeta del sistema de Windows mediante otro proceso malicioso o vector de ataque. El vector de entrada inicial de oci. Dll aún no se ha descubierto. Sin embargo, otra muestra de malware, Updata Exe. coloca el oci. Dll malicioso en la carpeta Sistema y configura el Control de transacciones distribuidas de Microsoft (msdtc) para que se ejecute en cada inicio.

Esta DLL se basó en el secuestro de DLL en lugar de ser cargada por la aplicación de Windows rundll32 Exe. Con este método, los atacantes pueden aprovechar los procesos confiables de Windows para ejecutar código malicioso arbitrario. Además, el servicio msdtc se utiliza para cargar oci. Dll malicioso. Al iniciarse, el servicio msdtc busca 3 DLL para cargar: xa80. Dll, oci. Dll y SqlLib80. Dll.

Uso de la tunelización ICMP

El malware usa el túnel ICMP para evadir la detección porque ICMP no usa puertos de TCP o UDP. Debido a esto, es posible que las herramientas de diagnóstico no detecten el archivo DLL malicioso. Pingback utiliza la solicitud de eco (ping) o el mensaje ICMP de tipo 8. Utiliza un rastreador para cada dirección IP en el host y genera un hilo para rastrear paquetes en cada dirección IP individual. Para separar entre sus propios paquetes y otros paquetes, el rastreador pasa por alto todo lo que no es un paquete de eco ICMP y no tiene el número de secuencia ICMP 1236, 1235 o 1234.

Este malware en particular ha mostrado la forma en que se puede utilizar el túnel ICMP para evadir la detección. Si bien los investigadores no sugieren deshabilitar o detener el uso de ICMP, sí sugieren un mecanismo de monitoreo para ayudar a identificar tales comunicaciones encubiertas a través de ICMP.

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.