ピングバックマルウェアは卑劣なC2通信にIMCPWindowsサービスを使用します
マルウェアの研究者は、Windowsシステムを標的とする独特の新しいマルウェアファミリーを特定しました。これは、DLLハイジャックと呼ばれる一般的なトリックを使用して、Windowsオペレーティングシステムをだまして、システムフォルダに保存されている悪意を持って変更されたDLLを実行させます。通常、これらのフォルダー内のDLLファイルの多くはWindowsによって信頼されており、正当性を確認せずにさまざまなWindowsコンポーネントによって読み込まれます。もちろん、これは最新のウイルス対策ソフトウェアスイートを使用することで防ぐことができます。これにより、有害なファイルが問題を引き起こす前に終了します。
Pingbackマルウェアは、Microsoft Distributed TransactionControlサービスによってロードされる「oci.dll」ファイルとして自身をマスクしているように見えます。ただし、DLLハイジャックは決して新しい手法ではありません。ハッカーによって何年も使用されており、これはこのプロジェクトの特別なことではありません。 Pingbackマルウェアの特別な点は、インターネット制御メッセージプロトコル(IMCP)に依存して制御サーバーと通信することです。同じプロトコルがpingやtracertなどの基本的なWindowsコマンドに使用されています。
悪意のあるインプラントは、3つの特別な番号シーケンスのいずれかでマークされた着信ICMPパケットを待機します。1つは実行するコマンドをチェックするようにインプラントに指示し、もう1つはペイロードを受け入れるように指示します。 3つ目は、その間、制御サーバーに応答を返すために使用されます。 ICMP通信は、ネットワークトラフィック監視ツールの監視下に置かれる可能性があるため、PingbackMalwareの作成者がICMP通信を使用することを選択したのは当然のことです。
最新のウイルス対策ツールで保護されたシステムは、ピンバックマルウェアの攻撃から安全です。もちろん、コンピューターオペレーターは、Webを閲覧している間も安全を確保するように努める必要があります。未知のコンテンツ、怪しげなWebサイト、海賊版ソフトウェア/メディアとのやり取りを避け、もちろん、ランダムな電子メールの添付ファイルには常に注意してください。