International IT

5 de mai de 20212 min

Novo Pingback Malware usa ICMP para evitar a detecção de C&C

Atualizado: 6 de dez de 2023

Os analistas de segurança cibernética Lloyd Macrohon e Rodel Mendrez encontraram recentemente um novo malware durante uma investigação de violação.

Chamado de 'Pingback', o malware do Windows aproveita o túnel ICMP (Internet Control Message Protocol) para se comunicar secretamente com bots, permitindo que o invasor utilize pacotes ICMP para adicionar códigos de ataque.

Captura do pacote ICMP do invasor - Fonte: Trustwave

VEJA TAMBÉM: NSA defende adoção de um modelo de segurança Zero Trust

Pingback (“oci.dll“) funciona sendo carregado por um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) - um componente que é responsável por coordenar transações que abrangem múltiplos gerenciadores de recursos, explorando um método chamado sequestro de ordem de pesquisa de DLL. Assim consegue usar um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.

Toda vez que seu computador inicializar, o sistema operacional começará a procurar DLLs. Se o caminho para uma DLL específica não estiver codificado, um trecho de código malicioso pode ser introduzido nesta ordem de pesquisa, carregando um executável.

O oci.dll malicioso é carregado indiretamente pelo serviço MSDTC - Fonte: Trustwave

SAIBA MAIS: Como escolher a melhor solução NAC para sua empresa?

Os analistas da Trustwave afirmam:

"O tunelamento ICMP não é novo, mas esta amostra em particular despertou nosso interesse como um exemplo do mundo real de malware usando essa técnica para evitar a detecção. O ICMP é útil para diagnóstico e desempenho de conexões IP, [mas] também pode ser usado indevidamente por agentes mal-intencionados para fazer a varredura e mapear o ambiente de rede de um alvo. Embora não estejamos sugerindo que o ICMP deva ser desativado, sugerimos implementar o monitoramento para ajudar a detectar essas comunicações secretas.

Como o malware não entra na rede via ICMP, apenas utiliza o protocolo ICMP para suas comunicações principais, uma investigação sobre o vetor de entrada inicial do Pingback ainda está em andamento.

Fontes: Trustwave, The Hacker News e Heimdal

Proteja seu futuro. Invista em cibersegurança hoje mesmo.

Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!

    188
    2