Pingback恶意软件使用IMCP Windows服务进行偷偷摸摸的C2通信
恶意软件研究人员已经确定了一个针对Windows系统的特殊的新型恶意软件家族。它使用称为DLL劫持的流行技巧来欺骗Windows操作系统,使其运行存储在系统文件夹中的经过恶意修改的DLL。通常,Windows信任这些文件夹中的许多DLL文件,并且它们将由各种Windows组件加载而无需检查其合法性。当然,这可以通过使用最新的防病毒软件套件来防止,该套件会在有害文件有机会引起麻烦之前将其终止。
Pingback恶意软件似乎将自己屏蔽为“ oci.dll”文件,该文件由Microsoft分布式事务控制服务加载。但是,DLL劫持绝不是一种新颖的技术,它已经被黑客使用了很多年,这在该项目中并不是什么特别的事情。 Pingback恶意软件的特殊之处在于,它依赖Internet控制消息协议(IMCP)与控制服务器进行通信–相同的协议用于ping和tracert等基本Windows命令。
恶意植入程序等待传入的ICMP数据包,这些数据包用三个特殊数字序列之一标记-一个通知植入程序检查要执行的命令,而另一个通知植入程序接受有效负载。同时,第三个用于将响应返回给控制服务器。 ICMP通信可能会受到网络流量监视工具的监视,因此Pingback恶意软件的创建者选择使用它就不足为奇了。
使用最新的防病毒工具保护的系统可以免受Pingback Malware的攻击。当然,计算机操作员在浏览Web时仍应设法保持安全–避免与未知内容,阴暗的网站,盗版软件/媒体进行交互,并且当然始终要警惕随机的电子邮件附件。