• InternationalIT

Novo Pingback Malware usa ICMP para evitar a detecção de C&C

Atualizado: Mai 20

Os analistas de segurança cibernética Lloyd Macrohon e Rodel Mendrez encontraram recentemente um novo malware durante uma investigação de violação.


Chamado de 'Pingback', o malware do Windows aproveita o túnel ICMP (Internet Control Message Protocol) para se comunicar secretamente com bots, permitindo que o invasor utilize pacotes ICMP para adicionar códigos de ataque.

Pingback Malware - Captura do pacote ICMP do invasor
Captura do pacote ICMP do invasor - Fonte: Trustwave

VEJA TAMBÉM: NSA defende adoção de um modelo de segurança Zero Trust


Pingback (“oci.dll“) funciona sendo carregado por um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) - um componente que é responsável por coordenar transações que abrangem múltiplos gerenciadores de recursos, explorando um método chamado sequestro de ordem de pesquisa de DLL. Assim consegue usar um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.


Toda vez que seu computador inicializar, o sistema operacional começará a procurar DLLs. Se o caminho para uma DLL específica não estiver codificado, um trecho de código malicioso pode ser introduzido nesta ordem de pesquisa, carregando um executável.

Pingback Malware - O oci.dll malicioso é carregado indiretamente pelo serviço MSDTC - Fonte: Trustwave
O oci.dll malicioso é carregado indiretamente pelo serviço MSDTC - Fonte: Trustwave

SAIBA MAIS: Como escolher a melhor solução NAC para sua empresa?


Os analistas da Trustwave afirmam:

"O tunelamento ICMP não é novo, mas esta amostra em particular despertou nosso interesse como um exemplo do mundo real de malware usando essa técnica para evitar a detecção. O ICMP é útil para diagnóstico e desempenho de conexões IP, [mas] também pode ser usado indevidamente por agentes mal-intencionados para fazer a varredura e mapear o ambiente de rede de um alvo. Embora não estejamos sugerindo que o ICMP deva ser desativado, sugerimos implementar o monitoramento para ajudar a detectar essas comunicações secretas.

Como o malware não entra na rede via ICMP, apenas utiliza o protocolo ICMP para suas comunicações principais, uma investigação sobre o vetor de entrada inicial do Pingback ainda está em andamento.


Fontes: Trustwave, The Hacker News e Heimdal

Não espere até ser atacado


Conheça nossas soluções seguras, avançadas e robustas de Cyber Security, LGPD, NGFWs, Hardware, MFT, Monitoramento de Rede, NOC & SOC e Consultoria de TIC.


Assine a Newsletter IIT e receba conteúdos como esse diretamente em seu e-mail:


102 visualizações0 comentário