Novo malware usa ICMP para capturar código de ataque

Views: 633
0 0
Read Time:2 Minute, 24 Second

Pingback aproveita o tunelamento do Internet Control Message Protocol para capturar o código de ataque

Pesquisadores de segurança cibernética divulgaram nesta terça-feira, 4, a existência de um novo malware que usa uma variedade de truques para permanecer sob o radar e evitar a detecção, enquanto executa furtivamente comandos arbitrários em sistemas infectados.

Chamado de Pingback, o malware feito para o Windows aproveita o tunelamento ICMP (Internet Control Message Protocol) para comunicações secretas de bot, permitindo que o hacker utilize pacotes ICMP para capturar o código de ataque, de acordo com uma análise publicada pela Trustwave.

O Pingback (“oci.dll”) consegue isso ao ser carregado por meio de um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) — um componente responsável por lidar com operações de banco de dados que são distribuídas em várias máquinas — tirando proveito de um método chamado ordem de sequestro de pesquisa DLL, que envolve o uso de um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.

Nomear o malware como um dos plug-ins necessários para dar suporte à interface Oracle ODBC no MSDTC é a chave para o ataque, observaram os pesquisadores. Embora o MSDTC não esteja configurado para ser executado automaticamente na inicialização, uma amostra do VirusTotal enviada em julho de 2020 foi encontrada para instalar o arquivo DLL no diretório do Windows e iniciar o serviço MSDTC para obter persistência, levantando a possibilidade de que um executável separado seja crucial para instalar o malware.

Após a execução bem-sucedida, o Pingback recorre ao uso do protocolo ICMP para sua comunicação principal. O ICMP é um protocolo de camada de rede usado principalmente para enviar mensagens de erro e informações operacionais, digamos, um alerta de falha quando outro host fica inacessível.

Especificamente, o Pingback tira vantagem de uma solicitação de eco (mensagem ICMP tipo 8), com os números de sequência de mensagem 1234, 1235 e 1236 denotando o tipo de informação contida no pacote 1234 sendo um comando ou dados, e 1235 e 1236 sendo o aviso de recebimento de dados na outra extremidade. Alguns dos comandos suportados pelo malware incluem a capacidade de executar comandos de shell arbitrários, baixar e carregar arquivos de e para o host do invasor e executar comandos maliciosos na máquina infectada.

Uma investigação sobre a rota de intrusão inicial do malware está em andamento. “O tunelamento ICMP não é novo, mas esta amostra em particular despertou nosso interesse como um exemplo do mundo real de malware usando essa técnica para evitar a detecção”, dizem os pesquisadores. “O ICMP é útil para diagnóstico e desempenho de conexões IP, [mas] também pode ser usado indevidamente por agentes mal-intencionados para fazer a varredura e mapear o ambiente de rede de um alvo. Embora não estejamos sugerindo que o ICMP deva ser desativado, sugerimos implementar o monitoramento para ajudar a detectar essas comunicações secretas no ICMP.”

FONTE: CISO ADVISOR

POSTS RELACIONADOS