Pingback Malware

Les détails d'une menace Windows particulière appelée malware Pingback ont été décrits dans un article de blog publié par Trustwave. Cette menace particulière a attiré l'attention des chercheurs en raison de sa dépendance à l'ICMP (Internet Control Message Protocol) pour la communication avec ses serveurs de commande et de contrôle (C2, C&C). En outre, la menace tire parti d'un service Windows légitime dans une technique de détournement de DLL.

Le logiciel malveillant Pingback se compose d'un fichier DLL de taille assez petite, de seulement 66 Ko, nommé «oci.dll», qui est généralement déposé dans le dossier «System» du système d'exploitation Windows. Au lieu d'être chargé par l'habituel rundll32.exe, le fichier corrompu utilise le détournement de DLL pour forcer un autre processus Windows légitime nommé msdtc (Microsoft Distributed Transaction Control) à exécuter «oci.dll».

Vecteur de compromis initial

Jusqu'à présent, le vecteur initial utilisé pour délivrer Pingback n'a pas été établi avec une certitude à 100%. Cependant, certaines preuves suggèrent qu'un autre échantillon de logiciel malveillant nommé «updata.exe» pourrait être impliqué. Après tout, l'analyse de 'updata.exe' a révélé qu'il supprime le fichier 'oci.dll' tout en exécutant une série de commandes qui modifient le comportement de msdtc:

sc stop msdtc
sc config msdtc obj = Démarrage du système local = auto
sc start msdtc

Communication via ICMP

Après s'être établi sur le système compromis, le malware Pingback permet à l'acteur menaçant de lancer des commandes arbitraires. Avant cela, cependant, la menace doit établir une communication avec ses serveurs C2. Les créateurs de Pingback ont décidé de mettre en œuvre une approche plutôt nouvelle en s'appuyant sur ICMP pour acheminer le trafic aller-retour entre les outils nuisibles et leurs serveurs. Cela permet à la menace de rester cachée à l'utilisateur car ICMP ne nécessite pas de ports ni ne repose sur TCP ou UDP. En pratique, la menace est indétectable par certains outils de diagnostic.

Pingback regarde chaque paquet ICMP reçu par le système infecté et sélectionne ceux qui ont des numéros de séquence de 1234, 1235 et 1236. Alors que les paquets 1235 et 1236 servent de confirmation qu'une demande a été reçue à chaque extrémité, le paquet 1234 porte les commandes non sécurisées réelles de l'acteur menaçant. Les données du C2 peuvent contenir des commandes telles que shell, download, exec, upload et plus encore.

Le billet de blog Trustweave fournit certains indicateurs de compromission (IoC) associés au malware Pingback:

Fichier: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Réseau:
Type ICMP = 8
Numéro de séquence: 1234 | 1235 | 1236
Taille des données: 788 octets