Pingback Malware использует службу IMCP Windows для скрытой связи C2
Исследователи вредоносных программ выявили новое специфическое семейство вредоносных программ, нацеленных на системы Windows. Он использует популярный прием, известный как перехват DLL, чтобы обманом заставить операционную систему Windows запустить злонамеренно измененную DLL, хранящуюся в системной папке. Обычно Windows доверяет многим файлам DLL в этих папках, и они загружаются различными компонентами Windows без проверки их легитимности. Конечно, этого можно предотвратить, используя новейший антивирусный программный пакет, который удалит вредоносные файлы до того, как они вызовут проблемы.
Вредоносное ПО Pingback маскируется под файл oci.dll, который загружается службой управления распределенными транзакциями Microsoft. Однако захват DLL ни в коем случае не является новым методом - он используется хакерами в течение многих лет, и это не особенность этого проекта. Особенностью Pingback Malware является то, что для связи с управляющим сервером он использует протокол управляющих сообщений Интернета (IMCP) - тот же протокол используется для основных команд Windows, таких как ping и tracert .
Вредоносный имплант ожидает входящих пакетов ICMP, которые помечаются одной из трех специальных числовых последовательностей: одна указывает имплантату проверить выполнение команды, а другая - принять полезную нагрузку. Третий, тем временем, используется для возврата ответа серверу управления. Связь по протоколу ICMP может оставаться незамеченной инструментами мониторинга сетевого трафика, поэтому неудивительно, что создатели Pingback Malware решили использовать его.
Системы, защищенные современным антивирусным инструментом, защищены от атак Pingback Malware. Конечно, операторы компьютеров по-прежнему должны стараться оставаться в безопасности при просмотре веб-страниц - избегать взаимодействия с неизвестным контентом, теневыми веб-сайтами, пиратским программным обеспечением / носителями и, конечно же, всегда опасаться случайных вложений электронной почты.