A Pingback Malware az IMCP Windows szolgáltatást használja a Sneaky C2 kommunikációhoz

A rosszindulatú programokkal foglalkozó kutatók egy sajátos új rosszindulatú program-családot azonosítottak, amely a Windows rendszereket veszi célba. A DLL-eltérítés néven ismert népszerű trükköt használja, hogy megtévessze a Windows operációs rendszert azzal, hogy rosszindulatúan módosított DLL-t futtat a rendszermappában. Az ezekben a mappákban található DLL-fájlok többségében általában a Windows megbízik, és a Windows különböző összetevői betöltik őket anélkül, hogy ellenőriznék jogszerűségüket. Természetesen ezt meg lehet akadályozni egy naprakész víruskereső szoftvercsomag használatával, amely megszünteti a káros fájlokat, még mielőtt esélyt kapnának a problémákra.

Úgy tűnik, hogy a Pingback Malware „oci.dll” fájlként maszkolja magát, amelyet a Microsoft Distributed Transaction Control szolgáltatás tölt be. A DLL-eltérítés azonban korántsem újszerű technika - a hackerek évek óta használják, és ez nem a különleges dolog ebben a projektben. A Pingback Malware különlegessége, hogy az Internet Control Message Protocol (IMCP) protokollra támaszkodik a vezérlő szerverrel való kommunikációhoz - ugyanazt a protokollt használják az olyan alapvető Windows parancsokhoz, mint a ping és a tracert .

A rosszindulatú implantátum megvárja a bejövő ICMP csomagokat, amelyeket a három speciális számszekvencia egyikével jelölnek - az egyik azt mondja az implantátumnak, hogy ellenőrizze a végrehajtandó parancsot, míg egy másik azt mondja, hogy fogadja el a hasznos terhet. A harmadik időközben arra szolgál, hogy választ adjon vissza a vezérlőszervernek. Az ICMP kommunikáció a hálózati forgalomfigyelő eszközök radarja alá mehet, így nem meglepő, hogy a Pingback Malware készítői a használatát választották.

A naprakész víruskereső eszközökkel védett rendszerek biztonságban vannak a Pingback Malware támadásaival szemben. Természetesen a számítógép-üzemeltetőknek továbbra is meg kell próbálniuk biztonságban maradni az interneten való böngészés során - kerüljék az ismeretlen tartalommal, az árnyékos webhelyekkel, a kalóz szoftverekkel / médiákkal való interakciókat, és természetesen mindig óvakodjanak a véletlenszerű e-mail mellékletektől.