Investigadores revelaron el martes un nuevo malware que utiliza una variedad de trucos para permanecer bajo el radar y evadir la detección, mientras que sigilosamente capaz de ejecutar comandos arbitrarios en sistemas infectados.
Llamado 'Pingback', el malware de Windows aprovecha el túnel del Protocolo de mensajes de control de Internet(ICMP)para las comunicaciones de bots encubiertos, lo que permite al adversario utilizar paquetes ICMP para obtener código de ataque de piggyback, según un análisis publicado hoy por Trustwave.
Pingback ("oci.dll") logra esto al cargarse a través de un servicio legítimo llamado MSDTC (Microsoft Distributed Transaction Coordinator) — un componente responsable de controlar las operaciones de base de datos que se distribuyen en varias máquinas — aprovechando un método llamado secuestro de orden de búsqueda DLL, que implica el uso de una aplicación genuina para precargar un archivo DLL malicioso.
Nombrar el malware como uno de los plugins necesarios para admitir la interfaz ODBC de Oracle en MSDTC es clave para el ataque, señalaron los investigadores. Aunque MSDTC no está configurado para ejecutarse automáticamente al iniciarse, se encontró un ejemplo de VirusTotal enviado en julio de 2020 para instalar el archivo DLL en el directorio del sistema windows e iniciar el servicio MSDTC para lograr la persistencia, lo que plantea la posibilidad de que un ejecutable independiente sea crucial para instalar el malware.
Tras una ejecución exitosa, Pingback recurre al uso del protocolo ICMP para su comunicación principal. ICMP es un protocolo de capa de red utilizado principalmente para enviar mensajes de error e información operativa, por ejemplo, una alerta de error cuando otro host se vuelve inalcanzable.
Específicamente, Pingback aprovecha una solicitud Echo (tipo de mensaje ICMP 8), con los números de secuencia de mensajes 1234, 1235 y 1236 que denoten el tipo de información contenida en el paquete — 1234 es un comando o datos, y 1235 y 1236 es el acuse de recibo de datos en el otro extremo. Algunos de los comandos admitidos por el malware incluyen la capacidad de ejecutar comandos de shell arbitrarios, descargar y cargar archivos desde y hacia el host del atacante, y ejecutar comandos maliciosos en el equipo infectado.
Una investigación sobre la ruta de intrusión inicial del malware está en curso.
"La tunelización ICMP no es nueva, pero esta muestra en particular despertó nuestro interés como un ejemplo real de malware utilizando esta técnica para evadir la detección", dijeron los investigadores. "ICMP es útil para el diagnóstico y el rendimiento de las conexiones IP, [pero] también puede ser mal utilizado por actores maliciosos para escanear y asignar el entorno de red de un objetivo. Si bien no estamos sugiriendo que icmp debe ser inhabilitado, sugerimos poner en marcha la supervisión para ayudar a detectar tales comunicaciones encubiertas a través de ICMP."
Ejemplo
Pingback: Backdoor At The End Of The ICMP Tunnel | Trustwave
