„Pingback“ kenkėjiška programa „Sneaky C2“ ryšiui naudoja „IMCP Windows“ paslaugą

Kenkėjiškų programų tyrėjai nustatė savitą naują kenkėjiškų programų šeimą, kuri skirta „Windows“ sistemoms. Jis naudoja populiarią gudrybę, vadinamą DLL pagrobimu, kad apgautų „Windows“ operacinę sistemą paleisdama piktybiškai modifikuotą DLL, saugomą sistemos aplanke. Paprastai daugeliu šių aplankų esančių DLL failų pasitiki „Windows“ ir juos įkels įvairūs „Windows“ komponentai, netikrindami jų teisėtumo. Žinoma, to galima išvengti naudojant naujausią antivirusinę programinę įrangą, kuri pašalins kenksmingus failus, kol jiems nebus suteikta galimybė sukelti problemų.

Pingback kenkėjiška programa, regis, slepia failą „oci.dll“, kurį įkelia „Microsoft Distributed Transaction Control“ tarnyba. Tačiau DLL pagrobimas anaiptol nėra nauja technika - hakeriai jį naudoja jau daugelį metų, ir tai nėra ypatingas dalykas šiame projekte. Ypatinga kenkėjiška programinė įranga „Pingback“ yra ta, kad ji remiasi interneto valdymo pranešimų protokolu (IMCP), kad galėtų bendrauti su valdymo serveriu - tas pats protokolas naudojamas ir pagrindinėms „Windows“ komandoms, tokioms kaip „ ping“ ir „ tracert“ .

Kenkėjiškas implantas laukia gaunamų ICMP paketų, kurie pažymėti viena iš trijų specialių skaičių sekų - vienas liepia implantui patikrinti komandą, kurią reikia vykdyti, o kitas liepia priimti naudingą krovinį. Tuo tarpu trečiasis naudojamas atsakymui į valdymo serverį grąžinti. ICMP ryšys gali būti nukreiptas į tinklo srauto stebėjimo įrankių radarą, todėl nenuostabu, kad „Pingback Malware“ kūrėjai pasirinko jį naudoti.

Sistemos, apsaugotos naujausiu antivirusiniu įrankiu, yra apsaugotos nuo „Pingback Malware“ atakų. Žinoma, kompiuterių operatoriai vis tiek turėtų stengtis išlikti saugūs naršydami internete - venkite sąveikos su nežinomu turiniu, šešėlinėmis svetainėmis, piratine programine įranga / laikmenomis ir, žinoma, visada būkite atsargūs dėl atsitiktinių el. Pašto priedų.