El malware Pingback usa ICMP para la comunicación encubierta

Descubierto un nuevo malware de Windows que utiliza el Protocolo de mensajes de control de Internet para sus actividades C2

El malware, llamado Pingback, se dirige a los sistemas Microsoft Windows de 64 bits y los sacude. Y además, utiliza la técnica de secuestro de DLL para establecer la persistencia en el sistema infectado. Y pretende llevar a cabo actividades de comando y control.

¿Qué ha sucedido?

Expertos en ciberseguridad, en concreto, un investigador principal de seguridad y un arquitecto senior han publicado sus hallazgos sobre Pingback. Han descubierto que el malware utiliza el protocolo de mensajes de control de Internet (ICMP)  para la comunicación.

Primero, los investigadores descubrieron un archivo malicioso identificado como oci. Dll. Este archivo DLL de 66 KB se coloca en la carpeta del sistema de Windows mediante otro proceso malicioso o vector de ataque. El vector de entrada inicial de oci. Dll aún no se ha descubierto. Sin embargo, otra muestra de malware, Updata Exe. coloca el oci. Dll malicioso en la carpeta Sistema y configura el Control de transacciones distribuidas de Microsoft (msdtc) para que se ejecute en cada inicio.

Esta DLL se basó en el secuestro de DLL en lugar de ser cargada por la aplicación de Windows rundll32 Exe. Con este método, los atacantes pueden aprovechar los procesos confiables de Windows para ejecutar código malicioso arbitrario. Además, el servicio msdtc se utiliza para cargar oci. Dll malicioso. Al iniciarse, el servicio msdtc busca 3 DLL para cargar: xa80. Dll, oci. Dll y SqlLib80. Dll.

Uso de la tunelización ICMP

El malware usa el túnel ICMP para evadir la detección porque ICMP no usa puertos de TCP o UDP. Debido a esto, es posible que las herramientas de diagnóstico no detecten el archivo DLL malicioso. Pingback utiliza la solicitud de eco (ping) o el mensaje ICMP de tipo 8. Utiliza un rastreador para cada dirección IP en el host y genera un hilo para rastrear paquetes en cada dirección IP individual. Para separar entre sus propios paquetes y otros paquetes, el rastreador pasa por alto todo lo que no es un paquete de eco ICMP y no tiene el número de secuencia ICMP 1236, 1235 o 1234.

Este malware en particular ha mostrado la forma en que se puede utilizar el túnel ICMP para evadir la detección. Si bien los investigadores no sugieren deshabilitar o detener el uso de ICMP, sí sugieren un mecanismo de monitoreo para ayudar a identificar tales comunicaciones encubiertas a través de ICMP.

1 comentario en “El malware Pingback usa ICMP para la comunicación encubierta”

  1. Pingback: Nuevo malware de Windows ha sido descubierto: Pingback • Bullhost Cloud Services | Bilbao

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba