Os analistas de segurança cibernética Lloyd Macrohon e Rodel Mendrez encontraram recentemente um novo malware durante uma investigação de violação.
Chamado de 'Pingback', o malware do Windows aproveita o túnel ICMP (Internet Control Message Protocol) para se comunicar secretamente com bots, permitindo que o invasor utilize pacotes ICMP para adicionar códigos de ataque.
Pingback (“oci.dll“) funciona sendo carregado por um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) - um componente que é responsável por coordenar transações que abrangem múltiplos gerenciadores de recursos, explorando um método chamado sequestro de ordem de pesquisa de DLL. Assim consegue usar um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.
Toda vez que seu computador inicializar, o sistema operacional começará a procurar DLLs. Se o caminho para uma DLL específica não estiver codificado, um trecho de código malicioso pode ser introduzido nesta ordem de pesquisa, carregando um executável.
Os analistas da Trustwave afirmam:
"O tunelamento ICMP não é novo, mas esta amostra em particular despertou nosso interesse como um exemplo do mundo real de malware usando essa técnica para evitar a detecção. O ICMP é útil para diagnóstico e desempenho de conexões IP, [mas] também pode ser usado indevidamente por agentes mal-intencionados para fazer a varredura e mapear o ambiente de rede de um alvo. Embora não estejamos sugerindo que o ICMP deva ser desativado, sugerimos implementar o monitoramento para ajudar a detectar essas comunicações secretas.
Como o malware não entra na rede via ICMP, apenas utiliza o protocolo ICMP para suas comunicações principais, uma investigação sobre o vetor de entrada inicial do Pingback ainda está em andamento.
Fontes: Trustwave, The Hacker News e Heimdal
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
