Pingback Malware bruger IMCP Windows Service til luskede C2-kommunikation

Malwareforskere har identificeret en underlig ny malware-familie, der er målrettet mod Windows-systemer. Det bruger et populært trick kendt som DLL-kapring for at narre Windows-operativsystemet til at køre en ondsindet ændret DLL gemt i en systemmappe. Typisk er mange af DLL-filerne i disse mapper betroede af Windows, og de indlæses af forskellige Windows-komponenter uden at kontrollere deres legitimitet. Selvfølgelig kan dette forhindres ved hjælp af en opdateret antivirussoftwarepakke, som afslutter skadelige filer, før de får en chance for at skabe problemer.

Pingback Malware ser ud til at maskere sig selv som en 'oci.dll'-fil, der indlæses af Microsoft Distribueret Transaktionskontroltjeneste. Imidlertid er DLL-kapring på ingen måde en ny teknik - den har været brugt af hackere i årevis, og dette er ikke det specielle ved dette projekt. Hvad der er specielt ved Pingback Malware er, at den er afhængig af Internet Control Message Protocol (IMCP) til at kommunikere med kontrolserveren - den samme protokol bruges til grundlæggende Windows-kommandoer som ping og tracert .

Det ondsindede implantat venter på indkommende ICMP-pakker, der er markeret med en af tre specielle nummersekvenser - en fortæller implantatet at kontrollere, om en kommando skal udføres, mens en anden beder det om at acceptere en nyttelast. Den tredje bruges i mellemtiden til at returnere et svar til kontrolserveren. ICMP-kommunikation kan gå under radaren fra netværkstrafikovervågningsværktøjer, så det er ikke overraskende, at Pingback Malwares skabere har valgt at bruge det.

Systemer beskyttet af et opdateret antivirusværktøj er sikre mod Pingback Malwares angreb. Selvfølgelig bør computeroperatører stadig forsøge at være sikre, mens de surfer på nettet - undgå at interagere med ukendt indhold, skyggefulde websteder, piratkopieret software / medier og selvfølgelig altid være på vagt over tilfældige vedhæftede filer.