El nuevo malware "Pingback" de Windows utiliza ICMP para la comunicación secreta

Hoy, los investigadores publicaron sus hallazgos sobre una nueva muestra de malware de Windows que utiliza el Protocolo de mensajes de control de Internet (ICMP) para sus actividades de comando y control (C2).

Apodado "Pingback", este malware se dirige a sistemas Microsoft Windows de 64 bits y utiliza el secuestro de DLL para aumentar la persistencia.

Índice()

    Abusa del servicio real de Windows para cargar archivos DLL maliciosos

    Hoy, el arquitecto senior de Trustwave Lloyd Macrohon y el investigador principal de seguridad Rodel Mendrez publicaron sus hallazgos sobre un nuevo malware de Windows que existe como una DLL de 64 bits.

    Es de destacar la elección de la muestra de malware del protocolo de comunicación ICMP, que también es utilizada por el popular silbido comando y Windows trazar ruta utilidad.

    El archivo malicioso en cuestión es una simple DLL de 66 KB llamada oci.dll, y normalmente se libera dentro de la carpeta "Sistema" de Windows mediante otro proceso malicioso o vector de ataque.

    Los investigadores se dieron cuenta rápidamente de que esta DLL no estaba siendo cargada por la aplicación familiar de Windows. rundll32.exe, pero se basó en el secuestro de DLL.

    DLL maliciosos cargados en el sistema
    Estructura de proceso de DLL malicioso cargado por procesos legítimos de Windows
    Fuente: Trustwave

    "Sabíamos que el archivo era sospechoso durante nuestra clasificación inicial, pero no pudimos averiguar cómo se cargó en el sistema porque la DLL no se cargó a través del sistema tradicional rundll32.exe,"Estado de Macrohon y Mendrez.

    El secuestro de DLL es una técnica utilizada por los atacantes en los sistemas Windows que implica colocar un archivo DLL malicioso en una de las carpetas en las que confía el sistema operativo Windows, de modo que una aplicación legítima del sistema tome y ejecute el archivo DLL malicioso.

    De esta manera, los atacantes pueden aprovechar un proceso de Windows real y confiable para ejecutar su código malicioso arbitrario.

    El año pasado, informó BleepingComputer, se podría abusar de unos 300 ejecutables de Windows para el secuestro de DLL.

    En este caso, los investigadores de Trustwave identificaron que se estaba abusando del servicio de control de transacciones distribuidas de Microsoft (msdtc) para cargar los archivos maliciosos. oci.dll.

    En efecto, msdtc.exe está presente en lista de más de 300 ejecutables de Windows que son candidatos perfectos para el secuestro de DLL, compilados por el investigador de PwC Wietze Beukema.

    En el lanzamiento, Windows msdtc el servicio busca 3 DLL para cargar: oci.dll, SqlLib80.dll, es xa80.dll.

    La verdad oci.dll representa una biblioteca de Oracle (Oracle Call Interface) que existe para admitir e interactuar con bases de datos de Oracle. Pero aquí está el truco:

    "De forma predeterminada, las tres DLL de Oracle no existen en el directorio del sistema de Windows".

    "Entonces, en teoría, un atacante con privilegios del sistema podría eliminar una DLL maliciosa y guardarla usando uno de los nombres de archivo DLL que MTxOCI cargas ", explican los investigadores.

    Aunque los investigadores han experimentado con la eliminación de los 3 nombres de archivo DLL en Windows, solo han descubierto que oci.dll se puede cargar sin problemas desde msdtc Servicio.

    Pero de donde viene lo dañino oci.dll ¿vienes de?

    Si bien aún se está estudiando el vector de entrada inicial, los investigadores sospechan de otra muestra de malware, actualizador.exe es por detrás de los dos que dejaron caer al maligno oci.dll en la carpeta "Sistema" de Windows y la configuración msdtc para trabajar en cada bota.

    Según lo analizado por BleepingComputer, actualizador.exe de hecho, ejecuta una secuencia de comandos a configurar msdtc para correr persistentemente y más gotas oci.dll:

    sc detener msdtc
    sc config msdtc obj = Inicio del sistema local = automático
    sc inicia msdtc

    actualizata.exe configura msdtc
    Actualizata.exe configura msdtc funcionar persistentemente
    Fuente: BleepingComputer (analizado en ANY.RUN)

    Utilice la tunelización ICMP para comunicaciones secretas

    La oci.dll malware una vez lanzado desde msdtc, utiliza ICMP para recibir comandos de forma encubierta desde su servidor C2.

    Los investigadores de Trustwave que han llamado a este malware "Pingback" dicen que la ventaja de usar ICMP para las comunicaciones es que Pingback está efectivamente oculto al usuario.

    Esto se debe a que ICMP no tiene el concepto de "puertos" y no utiliza ni TCP ni UDP. Como tal, oci.dll puede no ser detectado por herramientas de diagnóstico como netstat.

    Cada paquete ICMP, sin embargo, contiene un campo de "datos" con suficiente espacio para colarse en los datos personalizados dentro del campo y pasarlos de un lado a otro entre dos sistemas:

    paquete icmp
    Paquete ICMP con campo "datos" utilizado por el malware para recibir comandos de bot
    Fuente: Trustwave

    "La sección de datos ICMP es donde un atacante puede hacerlo en los hombros datos arbitrarios que se enviarán a un host remoto. El host remoto responde de la misma manera, desde [piggybacking] una respuesta en otro paquete ICMP y enviarlo de vuelta ", explican Macrohon y Mendrez.

    Malware de pingback (oci.dll) simplemente escucha todos los paquetes ICMP entrantes en un sistema infectado y analiza selectivamente los paquetes con números de secuencia: 1234, 1235o 1236.

    Un paquete ICMP entrante con el número de secuencia 1234 le dice al proceso malicioso que esta solicitud contiene cargas útiles o comandos, mientras que 1235 y 1236 son la forma de Pingback de rastrear y reconocer si se ha recibido una solicitud en ambos extremos.

    Los datos recibidos pueden contener comandos C2 como shell, descargar, cargar, ejecutivo, etc.

    Básicamente, estos comandos se utilizan para transmitir datos entre el servidor controlado por el atacante y el sistema infectado y permiten que un atacante remoto ejecute otros comandos arbitrarios en el sistema infectado.

    BleepingComputer también señaló, oci.dll hizo referencia a una ruta de archivo ficticia que lleva el nombre de Visual Studio 2008 que puede parecer que contiene datos legítimos del proyecto para un observador casual, pero es probable que el malware Pingback lo use para sus actividades nefastas, como el almacenamiento de datos:

    c: Users XL Documents Visual Studio 2008 Projects PingBackService0509 x64 Release PingBackService0509.pdb

    "El túnel ICMP no es nada nuevo, pero esta muestra en particular despertó nuestro interés como un ejemplo real de malware que utiliza esta técnica para evadir la detección", dicen los investigadores.

    Sin embargo, dado que ICMP también tiene casos de uso legítimos como herramienta de diagnóstico, el consejo de los investigadores no es deshabilitarlo, sino más bien establecer mecanismos de monitoreo para detectar cualquier tráfico ICMP sospechoso.

    Los resultados técnicos detallados de Trustwave se proporcionan en un archivo entrada en el blog. Los investigadores también crearon una prueba de concepto Bot C2 para demostrar algunos de los comandos de Pingback.

    Los indicadores de compromiso (IOC) asociados con el malware Pingback se proporcionan a continuación:

    Archivo: oci.dll
    SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
    SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
    MD5: 264C2EDE235DC7232D673D4748437969

    La red:
    Tipo de ICMP = 8
    Número de secuencia: 1234 | 1235 | 1236
    Tamaño de los datos: 788 bytes

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir