Pingback惡意軟件使用IMCP Windows服務進行偷偷摸摸的C2通信
惡意軟件研究人員已經確定了一個針對Windows系統的特殊的新型惡意軟件家族。它使用稱為DLL劫持的流行技巧來欺騙Windows操作系統,使其運行存儲在系統文件夾中的經過惡意修改的DLL。通常,Windows信任這些文件夾中的許多DLL文件,並且它們將由各種Windows組件加載而無需檢查其合法性。當然,這可以通過使用最新的防病毒軟件套件來防止,該套件會在有害文件有機會引起麻煩之前將其終止。
Pingback惡意軟件似乎將自己屏蔽為“ oci.dll”文件,該文件由Microsoft分佈式事務控制服務加載。但是,DLL劫持絕不是一種新穎的技術,它已經被黑客使用了很多年,這在該項目中並不是什麼特別的事情。 Pingback惡意軟件的特殊之處在於,它依賴於Internet控制消息協議(IMCP)與控制服務器進行通信–相同的協議用於ping和tracert等基本Windows命令。
惡意植入程序等待傳入的ICMP數據包,這些數據包用三個特殊數字序列之一標記-一個通知植入程序檢查要執行的命令,另一個通知植入程序接受有效負載。同時,第三個用於將響應返回給控制服務器。 ICMP通信可能會受到網絡流量監視工具的監視,因此Pingback惡意軟件的創建者選擇使用它就不足為奇了。
使用最新的防病毒工具保護的系統可以免受Pingback Malware的攻擊。當然,計算機操作員在瀏覽Web時仍應設法保持安全–避免與未知內容,陰暗的網站,盜版軟件/媒體進行交互,並且當然要始終警惕隨機的電子郵件附件。