Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors Pingback Malware

Pingback Malware

Por Mezo en Backdoors
Traducir a:
Español

Los detalles de una amenaza peculiar de Windows llamada malware Pingback se han descrito en una publicación de blog publicada por Trustwave. Esta amenaza en particular llamó la atención de los investigadores debido a su dependencia del ICMP (Protocolo de mensajes de control de Internet) para comunicarse con sus servidores de comando y control (C2, C&C). Además, la amenaza se aprovecha de un servicio legítimo de Windows en una técnica de secuestro de DLL.

El malware Pingback consiste en un archivo DLL bastante pequeño, de solo 66 KB, llamado 'oci.dll' que normalmente se coloca dentro de la carpeta 'Sistema' del sistema operativo Windows. En lugar de ser cargado por el rundll32.exe habitual, el archivo dañado utiliza el secuestro de DLL para forzar a otro proceso legítimo de Windows llamado msdtc (Control de transacciones distribuidas de Microsoft) a ejecutar 'oci.dll'.

Vector de compromiso inicial

Hasta ahora, el vector inicial utilizado para entregar Pingback no se ha establecido con un 100% de certeza. Cierta evidencia, sin embargo, sugiere que podría estar involucrada otra muestra de malware denominada 'Updata.exe'. Después de todo, el análisis de 'Updata.exe' ha revelado que suelta el archivo 'oci.dll' al mismo tiempo que ejecuta una serie de comandos que modifican el comportamiento de msdtc:

sc detener msdtc
sc config msdtc obj = Inicio del sistema local = automático
sc iniciar msdtc

Comunicación a través de ICMP

Después de establecerse en el sistema comprometido, el malware Pingback permite al actor de la amenaza lanzar comandos arbitrarios. Sin embargo, antes de eso, la amenaza debe establecer comunicación con sus servidores C2. Los creadores de Pingback han decidido implementar un enfoque bastante novedoso confiando en ICMP para llevar el tráfico de ida y vuelta entre las herramientas dañinas y sus servidores. Permite que la amenaza permanezca efectivamente oculta al usuario, ya que ICMP no requiere puertos ni depende de TCP o UDP. En la práctica, la amenaza es indetectable por determinadas herramientas de diagnóstico.

Pingback examina cada paquete ICMP recibido por el sistema infectado y selecciona los que tienen números de secuencia 1234, 1235 y 1236. Mientras que los paquetes 1235 y 1236 sirven como confirmación de que se ha recibido una solicitud en cualquier extremo, el paquete 1234 lleva los comandos inseguros reales del actor de la amenaza. Los datos del C2 pueden contener comandos como shell, download, exec, upload y más.

La publicación del blog Trustweave proporciona ciertos indicadores de compromiso (IoC) asociados con el malware Pingback:

Archivo: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

La red:
Tipo de ICMP = 8
Número de secuencia: 1234 | 1235 | 1236
Tamaño de los datos: 788 bytes

Tendencias

Mas Visto

Cargando...