新的Pingback恶意软件使用ICMP隧道来逃避C&C检测

周二，研究人员发现了一种新型恶意软件，它使用各种手段隐藏在雷达之下，逃避检测，同时能够在受感染的系统上秘密执行任意命令。

Trustwave今天发布的一项分析显示，这种名为“Pingback”的Windows恶意软件利用互联网控制消息协议（ICMP）隧道进行隐蔽机器人通信，允许对手利用ICMP数据包携带攻击代码。

Pingback（“oci.dll”）通过一个名为MSDTC（微软分布式事务协调器）和#8212；负责处理分布在多台机器上的数据库操作的组件—；通过利用称为DLL搜索顺序劫持的方法，该方法涉及使用真正的应用程序预加载恶意DLL文件。

研究人员指出，将该恶意软件命名为MSDTC中支持Oracle ODBC接口所需的插件之一是此次攻击的关键。虽然MSDTC没有配置为在启动时自动运行，但发现2020年7月提交的一个VirusTotal示例将DLL文件安装到Windows系统目录中，并启动MSDTC服务以实现持久性，这增加了一种可能性，即单独的可执行文件对安装恶意软件至关重要。

成功执行后，Pingback会使用ICMP协议进行主通信。ICMP是一种网络层协议，主要用于发送错误消息和操作信息，例如，当无法访问另一台主机时发出故障警报。

具体来说，Pingback利用回显请求（ICMP消息类型8），消息序列号1234、1235和1236表示数据包中包含的信息类型—；1234是命令或数据，1235和1236是另一端接收数据的确认。恶意软件支持的一些命令包括运行任意shell命令、从攻击者的主机下载和上传文件，以及在受感染的机器上执行恶意有效载荷。

目前正在对该恶意软件的初始入侵路径进行调查。

研究人员说：“ICMP隧道并不是什么新鲜事，但这个特定的样本激发了我们的兴趣，因为它是一个真实的恶意软件示例，使用这种技术来逃避检测。”。“ICMP对IP连接的诊断和性能非常有用，[但]恶意参与者也可能滥用它来扫描和映射目标的网络环境。虽然我们不建议禁用ICMP，但我们确实建议实施监控，以帮助检测ICMP上的此类隐蔽通信。”