Το κακόβουλο λογισμικό Pingback χρησιμοποιεί την υπηρεσία IMCP Windows για Sneaky C2 Communication

Οι ερευνητές κακόβουλου λογισμικού έχουν εντοπίσει μια παράξενη νέα οικογένεια κακόβουλων προγραμμάτων που στοχεύει συστήματα Windows. Χρησιμοποιεί ένα δημοφιλές τέχνασμα γνωστό ως εισβολή DLL για να ξεγελάσει το λειτουργικό σύστημα των Windows ώστε να εκτελεί κακόβουλα τροποποιημένο DLL που είναι αποθηκευμένο σε ένα φάκελο συστήματος. Συνήθως, πολλά από τα αρχεία DLL σε αυτούς τους φακέλους είναι αξιόπιστα από τα Windows και θα φορτωθούν από διάφορα στοιχεία των Windows χωρίς να ελέγξουν τη νομιμότητά τους. Φυσικά, αυτό μπορεί να αποφευχθεί με τη χρήση μιας ενημερωμένης σουίτας λογισμικού προστασίας από ιούς, η οποία θα τερματίσει τα επιβλαβή αρχεία προτού πάρουν την ευκαιρία να προκαλέσουν προβλήματα.

Το κακόβουλο λογισμικό Pingback φαίνεται να κρύβεται ως αρχείο "oci.dll", το οποίο φορτώνεται από την υπηρεσία Microsoft Distributed Transaction Control. Ωστόσο, η παραβίαση DLL δεν είναι σε καμία περίπτωση μια νέα τεχνική - χρησιμοποιείται από hackers εδώ και χρόνια και αυτό δεν είναι το ιδιαίτερο πράγμα για αυτό το έργο. Αυτό που είναι ιδιαίτερο για το Pingback Malware είναι ότι βασίζεται στο Internet Control Message Protocol (IMCP) για επικοινωνία με τον διακομιστή ελέγχου - το ίδιο πρωτόκολλο χρησιμοποιείται για βασικές εντολές των Windows, όπως το ping και το tracert .

Το κακόβουλο εμφύτευμα περιμένει εισερχόμενα πακέτα ICMP, τα οποία επισημαίνονται με μία από τις τρεις ειδικές ακολουθίες αριθμών - το ένα λέει στο εμφύτευμα να ελέγξει για εντολή για εκτέλεση, ενώ ένα άλλο το λέει να αποδεχτεί ωφέλιμο φορτίο. Το τρίτο, εν τω μεταξύ, χρησιμοποιείται για την επιστροφή μιας απόκρισης στον διακομιστή ελέγχου. Η επικοινωνία ICMP μπορεί να βρίσκεται κάτω από το ραντάρ των εργαλείων παρακολούθησης της κυκλοφορίας δικτύου, οπότε δεν προκαλεί έκπληξη το γεγονός ότι οι δημιουργοί του Pingback Malware επέλεξαν να το χρησιμοποιήσουν.

Τα συστήματα που προστατεύονται από ένα ενημερωμένο εργαλείο προστασίας από ιούς είναι ασφαλή από τις επιθέσεις του Pingback Malware. Φυσικά, οι χειριστές υπολογιστών θα πρέπει να εξακολουθούν να προσπαθούν να παραμείνουν ασφαλείς κατά την περιήγηση στον Ιστό - αποφύγετε την αλληλεπίδραση με άγνωστο περιεχόμενο, σκιερούς ιστότοπους, πειρατικό λογισμικό / μέσα και, φυσικά, να είστε πάντα προσεκτικοί με τυχαία συνημμένα email.