Si chiama Pingback il nuovo malware per Windows che, abusando dell’Internet Control Message Protocol (ICMP, lo stesso utilizzato dai comandi di rete ping e traceroute), è in grado di comunicare segretamente con il server di comando e controllo per eludere il rilevamento mentre, furtivamente, esegue comandi arbitrari sui sistemi infetti.
Pingback prende di mira i sistemi Microsoft Windows a 64 bit e utilizza la tecnica di DLL Hijacking per guadagnare persistenza.
Indice degli argomenti
Pingback e la tecnica del DLL Hijacking
La tecnica di DLL Hijacking sfruttata dal malware Pingback consiste nell’inserire una libreria dannosa in formato DLL all’interno di una delle cartelle di Windows considerate attendibili dai software di sicurezza, in attesa che un’applicazione lecita di sistema la esegua in autonomia.
In particolare, il file dannoso responsabile dell’attacco in questione è una semplice DLL di 66 KB denominata oci.dll che in genere viene rilasciata all’interno della cartella System di Windows da un altro processo dannoso.
I ricercatori di sicurezza Lloyd Macrohon e Rodel Mendrez di Trustwave, dopo aver isolato un campione del malware, si sono resi conto che la libreria DLL non veniva caricata nella memoria di sistema dalla familiare applicazione Windows rundll32.exe, come accade per molti altri payload malevoli, ma appunto sfruttando la tecnica di DLL Hijacking.
In questo modo, gli attaccanti possono sfruttare un processo Windows reale e affidabile per eseguire il loro codice malevolo.
Pingback: come avviene l’infezione dei sistemi
Nel caso del malware Pingback, i ricercatori hanno scoperto che il servizio abusato per consentire il caricamento della libreria oci.dll malevola è il Microsoft Distributed Transaction Control (msdtc).
Il servizio msdtc di Windows, in particolare, all’avvio del sistema prova a cercare tre differenti DLL da caricare in memoria: oci.dll, SqlLib80.dll e xa80.dll. La “vera” oci.dll è in realtà una libreria Oracle (Oracle Call Interface) utilizzata per supportare e interagire con i database Oracle.
È in questo momento che gli attaccanti riescono a sfruttare la falla di sicurezza per effettuare l’attacco mediante il malware Pingback.
Per impostazione predefinita, infatti, le tre DLL non esistono nella directory di sistema di Windows: in teoria, quindi, un utente malintenzionato con privilegi di amministratore potrebbe “inserire” la libreria dannosa nella cartella e salvarla utilizzando uno dei nomi di file DLL caricati dall’applicazione Oracle MTxOCI.
Così Pingback si nasconde agli antivirus
Al momento, i ricercatori di sicurezza non sono ancora riusciti ad identificare il vettore usato dagli attaccanti per introdurre la libreria oci.dll dannosa all’interno del sistema target. Il sospetto è che il drop del codice dannoso sia opera di un altro malware già presente nel sistema, probabilmente updata.exe, utilizzato anche per forzare la configurazione del servizio msdtc affinché venga eseguito ad ogni avvio del sistema operativo.
Come dicevamo, Pingback utilizza il protocollo ICMP per comunicare con il server C2 senza utilizzare nessuna porta TCP o UDP. In questo modo, lo scambio di informazioni tra il malware e il server rimane effettivamente nascosto agli utenti.
Il protocollo ICMP, in particolare, viene utilizzato principalmente per inviare messaggi di errore e informazioni operative: ad esempio, un avviso di guasto quando un altro host diventa irraggiungibile.
Sfruttando la tecnica di attacco chiamata Piggyback che consente ad un attaccante di inserirsi in una comunicazione di rete sfruttando i momenti di “silenzio” per inviare i propri messaggi, viene quindi creato di fatto un tunnel ICMP attraverso il quale è possibile diffondere il codice malevolo del malware Pingback nascosto nella libreria dannosa oci.dll senza alcun rilevamento da parte di strumenti diagnostici come netstat.
Considerando, poi, che ogni pacchetto ICMP contiene un campo “dati” con spazio sufficiente per inserire altri codice malevolo da trasmettere avanti e indietro tra due sistemi evitando qualunque rilevamento, i ricercatori di Trustwave hanno scoperto che gli attaccanti sono in grado di inviare al malware Pingback le istruzioni per eseguire comandi shell arbitrari, scaricare e caricare file da e verso l’host dell’attaccante ed eseguire payload dannosi sulla macchina infettata.
Come difendersi da questa minaccia
Non conoscendo ancora il modo con cui il payload del malware Pingback viene scaricato sulla macchina target, non c’è al momento una soluzione precisa per difendersi da un possibile attacco.
Sicuramente è utile tenere sempre aggiornato il proprio antivirus e tutti i sistemi di sicurezza della nostra rete.
Inoltre, non potendo disabilitare il protocollo ICMP, è utile mettere in atto il monitoraggio di rete per riuscire a rilevare le eventuali comunicazioni segrete del malware con il server C2.
