top of page
  • Foto do escritorInternational IT

Novo Pingback Malware usa ICMP para evitar a detecção de C&C

Atualizado: 6 de dez. de 2023

Os analistas de segurança cibernética Lloyd Macrohon e Rodel Mendrez encontraram recentemente um novo malware durante uma investigação de violação.


Chamado de 'Pingback', o malware do Windows aproveita o túnel ICMP (Internet Control Message Protocol) para se comunicar secretamente com bots, permitindo que o invasor utilize pacotes ICMP para adicionar códigos de ataque.

Pingback Malware - Captura do pacote ICMP do invasor
Captura do pacote ICMP do invasor - Fonte: Trustwave

Pingback (“oci.dll“) funciona sendo carregado por um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) - um componente que é responsável por coordenar transações que abrangem múltiplos gerenciadores de recursos, explorando um método chamado sequestro de ordem de pesquisa de DLL. Assim consegue usar um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.


Toda vez que seu computador inicializar, o sistema operacional começará a procurar DLLs. Se o caminho para uma DLL específica não estiver codificado, um trecho de código malicioso pode ser introduzido nesta ordem de pesquisa, carregando um executável.

Pingback Malware - O oci.dll malicioso é carregado indiretamente pelo serviço MSDTC - Fonte: Trustwave
O oci.dll malicioso é carregado indiretamente pelo serviço MSDTC - Fonte: Trustwave

Os analistas da Trustwave afirmam:

"O tunelamento ICMP não é novo, mas esta amostra em particular despertou nosso interesse como um exemplo do mundo real de malware usando essa técnica para evitar a detecção. O ICMP é útil para diagnóstico e desempenho de conexões IP, [mas] também pode ser usado indevidamente por agentes mal-intencionados para fazer a varredura e mapear o ambiente de rede de um alvo. Embora não estejamos sugerindo que o ICMP deva ser desativado, sugerimos implementar o monitoramento para ajudar a detectar essas comunicações secretas.

Como o malware não entra na rede via ICMP, apenas utiliza o protocolo ICMP para suas comunicações principais, uma investigação sobre o vetor de entrada inicial do Pingback ainda está em andamento.


 

Proteja seu futuro. Invista em cibersegurança hoje mesmo.


Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!

Comentarios


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page