Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc Pingback mới sử dụng đường hầm ICMP để lẩn trốn trên C&C
Các nhà nghiên cứu vừa phát hiện mã độc mới sử dụng nhiều thủ thuật để tránh bị phát hiện, đồng thời có khả năng lén lút thực hiện các lệnh tùy ý trên hệ thống.
Được gọi là 'Pingback', mã độc trên Windows lợi dụng đường hầm (tunneling) của Giao thức ICMP để bí mật liên lạc với bot, cho phép hacker sử dụng các gói ICMP để vận chuyển mã tấn công.
Pingback ("oci.dll") có thể thực hiện điều này bằng cách phát tán thông qua một dịch vụ hợp pháp có tên MSDTC. Đây là thành phần chịu trách nhiệm xử lý các hoạt động cơ sở dữ liệu được phân phối trên nhiều máy. Mã độc lợi dụng phương pháp đánh cắp trình tự tìm kiếm DLL, liên quan đến việc sử dụng ứng dụng hợp pháp để tải trước tệp DLL độc hại.
Việc đặt tên mã độc giống với một trong những plugin cần thiết hỗ trợ giao diện Oracle ODBC trong MSDTC là chìa khóa của cuộc tấn công. MSDTC không được định cấu hình để chạy tự động khi khởi động thiết bị, nhưng một mẫu trên VirusTotal từ tháng 7/2020 đã cài tệp DLL vào thư mục Hệ thống Windows và khởi động dịch vụ MSDTC để ẩn náu lâu dài.
Sau khi thực thi thành công, Pingback sử dụng ICMP cho giao tiếp chính. ICMP là một giao thức lớp mạng chính được sử dụng để gửi thông báo lỗi và thông tin hoạt động, chẳng hạn như cảnh báo lỗi khi máy chủ khác không thể truy cập.
Cụ thể, Pingback lợi dụng một yêu cầu Echo (tin nhắn ICMP loại 8), với các số thứ tự tin nhắn 1234, 1235 và 1236 biểu thị loại thông tin có trong gói. 1234 là lệnh hoặc dữ liệu, 1235 và 1236 là xác nhận đã nhận dữ liệu từ phía kia. Một số thao tác được mã độc hỗ trợ bao gồm khả năng chạy các lệnh shell tùy ý, tải các tệp từ/đến máy chủ của kẻ tấn công cũng như thực thi các lệnh độc hại trên máy nạn nhân.
Hiện lộ trình xâm nhập ban đầu của mã độc vẫn đang được điều tra.
Các nhà nghiên cứu cho biết: “Lợi dụng đường hầm ICMP không mới, nhưng đây là ví dụ thực tế về mã độc sử dụng kỹ thuật này để tránh bị phát hiện”. “ICMP hữu ích cho việc chẩn đoán và thực hiện các kết nối IP, nhưng cũng có thể bị kẻ xấu lợi dụng để quét và lập bản đồ môi trường mạng của mục tiêu. Chúng tôi không đề xuất tắt ICMP, nhưng khuyên bạn nên giám sát để phát hiện các bất thường qua ICMP”.
Được gọi là 'Pingback', mã độc trên Windows lợi dụng đường hầm (tunneling) của Giao thức ICMP để bí mật liên lạc với bot, cho phép hacker sử dụng các gói ICMP để vận chuyển mã tấn công.
Pingback ("oci.dll") có thể thực hiện điều này bằng cách phát tán thông qua một dịch vụ hợp pháp có tên MSDTC. Đây là thành phần chịu trách nhiệm xử lý các hoạt động cơ sở dữ liệu được phân phối trên nhiều máy. Mã độc lợi dụng phương pháp đánh cắp trình tự tìm kiếm DLL, liên quan đến việc sử dụng ứng dụng hợp pháp để tải trước tệp DLL độc hại.
Việc đặt tên mã độc giống với một trong những plugin cần thiết hỗ trợ giao diện Oracle ODBC trong MSDTC là chìa khóa của cuộc tấn công. MSDTC không được định cấu hình để chạy tự động khi khởi động thiết bị, nhưng một mẫu trên VirusTotal từ tháng 7/2020 đã cài tệp DLL vào thư mục Hệ thống Windows và khởi động dịch vụ MSDTC để ẩn náu lâu dài.
Sau khi thực thi thành công, Pingback sử dụng ICMP cho giao tiếp chính. ICMP là một giao thức lớp mạng chính được sử dụng để gửi thông báo lỗi và thông tin hoạt động, chẳng hạn như cảnh báo lỗi khi máy chủ khác không thể truy cập.
Cụ thể, Pingback lợi dụng một yêu cầu Echo (tin nhắn ICMP loại 8), với các số thứ tự tin nhắn 1234, 1235 và 1236 biểu thị loại thông tin có trong gói. 1234 là lệnh hoặc dữ liệu, 1235 và 1236 là xác nhận đã nhận dữ liệu từ phía kia. Một số thao tác được mã độc hỗ trợ bao gồm khả năng chạy các lệnh shell tùy ý, tải các tệp từ/đến máy chủ của kẻ tấn công cũng như thực thi các lệnh độc hại trên máy nạn nhân.
Hiện lộ trình xâm nhập ban đầu của mã độc vẫn đang được điều tra.
Các nhà nghiên cứu cho biết: “Lợi dụng đường hầm ICMP không mới, nhưng đây là ví dụ thực tế về mã độc sử dụng kỹ thuật này để tránh bị phát hiện”. “ICMP hữu ích cho việc chẩn đoán và thực hiện các kết nối IP, nhưng cũng có thể bị kẻ xấu lợi dụng để quét và lập bản đồ môi trường mạng của mục tiêu. Chúng tôi không đề xuất tắt ICMP, nhưng khuyên bạn nên giám sát để phát hiện các bất thường qua ICMP”.
Nguồn: The Hacker News