Pingback-Malware

Die Details einer besonderen Windows-Bedrohung namens Pingback-Malware wurden in einem von Trustwave veröffentlichten Blog-Beitrag beschrieben. Diese besondere Bedrohung erregte die Aufmerksamkeit der Forscher, da sie sich bei der Kommunikation mit ihren Command-and-Control-Servern (C2, C & C) auf ICMP (Internet Control Message Protocol) stützte. Darüber hinaus nutzt die Bedrohung einen legitimen Windows-Dienst in einer DLL-Hijacking-Technik.

Die Pingback-Malware besteht aus einer relativ kleinen DLL-Datei mit dem Namen "oci.dll" (nur 66 KB), die normalerweise im Ordner "System" des Windows-Betriebssystems abgelegt wird. Anstatt von der üblichen rundll32.exe geladen zu werden, verwendet die beschädigte Datei DLL-Hijacking, um einen anderen legitimen Windows-Prozess namens msdtc (Microsoft Distributed Transaction Control) zur Ausführung von 'oci.dll' zu zwingen.

Anfänglicher Kompromissvektor

Bisher wurde der ursprüngliche Vektor, der zur Abgabe von Pingback verwendet wurde, nicht mit 100% iger Sicherheit ermittelt. Bestimmte Hinweise deuten jedoch darauf hin, dass möglicherweise ein anderes Malware-Beispiel mit dem Namen "updata.exe" beteiligt ist. Immerhin hat die Analyse von 'updata.exe' ergeben, dass die Datei 'oci.dll' geliefert wird und gleichzeitig eine Reihe von Befehlen ausgeführt wird, die das Verhalten von msdtc ändern:

sc stop msdtc
sc config msdtc obj = Start des lokalen Systems = auto
sc start msdtc

Kommunikation über ICMP

Nachdem sich die Pingback-Malware auf dem gefährdeten System etabliert hat, kann der Bedrohungsakteur beliebige Befehle starten. Zuvor muss die Bedrohung jedoch die Kommunikation mit ihren C2-Servern herstellen. Die Entwickler von Pingback haben beschlossen, einen ziemlich neuartigen Ansatz zu implementieren, indem sie sich auf ICMP verlassen, um den Hin- und Her-Verkehr zwischen den schädlichen Tools und ihren Servern zu übertragen. Dadurch kann die Bedrohung dem Benutzer effektiv verborgen bleiben, da ICMP weder Ports benötigt noch auf TCP oder UDP angewiesen ist. In der Praxis ist die Bedrohung durch bestimmte Diagnosetools nicht erkennbar.

Pingback überprüft jedes vom infizierten System empfangene ICMP-Paket und wählt diejenigen mit den Sequenznummern 1234, 1235 und 1236 aus. Während die Pakete 1235 und 1236 als Bestätigung dafür dienen, dass an beiden Enden eine Anforderung empfangen wurde, das Paket 1234 trägt die tatsächlichen unsicheren Befehle des Bedrohungsakteurs. Die Daten vom C2 können Befehle wie Shell, Download, Exec, Upload und mehr enthalten.

Der Trustweave-Blogbeitrag enthält bestimmte IoC-Indikatoren (Comicators of Compromise), die mit der Pingback-Malware verbunden sind:

Datei: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

Netzwerk:
ICMP-Typ = 8
Sequenznummer: 1234 | 1235 | 1236
Datengröße: 788 Bytes