9 Shares 1502 Views 1 Comments

El malware Pingback usa ICMP para la comunicación encubierta

10 mayo, 2021
9 Compartido 1,502 Visualizaciones 1

Descubierto un nuevo malware de Windows que utiliza el Protocolo de mensajes de control de Internet para sus actividades C2

El malware, llamado Pingback, se dirige a los sistemas Microsoft Windows de 64 bits y los sacude. Y además, utiliza la técnica de secuestro de DLL para establecer la persistencia en el sistema infectado. Y pretende llevar a cabo actividades de comando y control.

¿Qué ha sucedido?

Expertos en ciberseguridad, en concreto, un investigador principal de seguridad y un arquitecto senior han publicado sus hallazgos sobre Pingback. Han descubierto que el malware utiliza el protocolo de mensajes de control de Internet (ICMP)  para la comunicación.

Primero, los investigadores descubrieron un archivo malicioso identificado como oci. Dll. Este archivo DLL de 66 KB se coloca en la carpeta del sistema de Windows mediante otro proceso malicioso o vector de ataque. El vector de entrada inicial de oci. Dll aún no se ha descubierto. Sin embargo, otra muestra de malware, Updata Exe. coloca el oci. Dll malicioso en la carpeta Sistema y configura el Control de transacciones distribuidas de Microsoft (msdtc) para que se ejecute en cada inicio.

Esta DLL se basó en el secuestro de DLL en lugar de ser cargada por la aplicación de Windows rundll32 Exe. Con este método, los atacantes pueden aprovechar los procesos confiables de Windows para ejecutar código malicioso arbitrario. Además, el servicio msdtc se utiliza para cargar oci. Dll malicioso. Al iniciarse, el servicio msdtc busca 3 DLL para cargar: xa80. Dll, oci. Dll y SqlLib80. Dll.

Uso de la tunelización ICMP

El malware usa el túnel ICMP para evadir la detección porque ICMP no usa puertos de TCP o UDP. Debido a esto, es posible que las herramientas de diagnóstico no detecten el archivo DLL malicioso. Pingback utiliza la solicitud de eco (ping) o el mensaje ICMP de tipo 8. Utiliza un rastreador para cada dirección IP en el host y genera un hilo para rastrear paquetes en cada dirección IP individual. Para separar entre sus propios paquetes y otros paquetes, el rastreador pasa por alto todo lo que no es un paquete de eco ICMP y no tiene el número de secuencia ICMP 1236, 1235 o 1234.

Este malware en particular ha mostrado la forma en que se puede utilizar el túnel ICMP para evadir la detección. Si bien los investigadores no sugieren deshabilitar o detener el uso de ICMP, sí sugieren un mecanismo de monitoreo para ayudar a identificar tales comunicaciones encubiertas a través de ICMP.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los clientes demandan un equilibrio entre personalización y privacidad en su relación con las empresas
Actualidad
12 compartido1,467 visualizaciones
Actualidad
12 compartido1,467 visualizaciones

Los clientes demandan un equilibrio entre personalización y privacidad en su relación con las empresas

Vicente Ramírez - 23 agosto, 2018

Los clientes están entusiasmados por las innovaciones tecnológicas, pero también desconfían sobre el modo en que las empresas proveedoras de…

Aumentan los ciberataques a infraestructuras críticas del Estado
Actualidad
32 compartido3,012 visualizaciones
Actualidad
32 compartido3,012 visualizaciones

Aumentan los ciberataques a infraestructuras críticas del Estado

Vicente Ramírez - 11 abril, 2018

El Ministerio del Interior ha anunciado esta semana que el número de ciberataques hacia las infraestructuras críticas del Estado ha…

Las empresas de retail podrían incrementar sus ingresos un 5% si invierten en las medidas de ciberseguridad y privacidad que el consumidor valora
Actualidad
23 compartido1,652 visualizaciones
Actualidad
23 compartido1,652 visualizaciones

Las empresas de retail podrían incrementar sus ingresos un 5% si invierten en las medidas de ciberseguridad y privacidad que el consumidor valora

Samuel Rodríguez - 10 mayo, 2018

De acuerdo con un estudio del Instituto de Transformación Digital de Capgemin, la ciberseguridad es hoy día una nueva baza competitiva…

Un comentario

  1. Pingback: Nuevo malware de Windows ha sido descubierto: Pingback • Bullhost Cloud Services | Bilbao

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.