af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 4. maj 2021 offentliggjorde Trustwave-forskere detaljer om en malware, der kaldes Pingback, som bruger en ICMP-tunnel (Internet Control Message Protocol) til sin bagdørskommunikation. Pingback har flere nyttige funktioner i sit arsenal, såsom at udføre kommandoer og uploade og downloade filer, hvilket giver trusselsaktørerne fleksibilitet.

Pingback opnår persistens via DLL-kapring (T1574.001) gennem den legitime systemproces msdtc (Microsoft Distributed Transaction Coordinator). Trusselsaktører kan kapre og udnytte Windows’ søgerækkefølge, som indlæser DLL’er, til at udføre deres egne ondsindede DLL’er. Efter at have indhentet systemrettigheder indsætter trusselsaktøren en ondsindet oci.dll i systemmappen, og msdtc-tjenesten indlæses indirekte gennem MSDTCTM.DLL.
Som standard kører msdtc-tjenesten ikke ved opstart, så trusselsaktøren bruger den indbyggede sc-kommando (service control) (T1543.003) til at konfigurere msdtc-tjenesten til automatisk at køre ved opstart for persistens. Trusselsaktører opnår persistens via en separat binær (updata.exe), som de også bruger til at indsætte den ondsindede DLL.

Pingback bruger specifikt ekkoanmodningen (type 8) ICMP-meddelelse. Den snuser til pakker i alle IP-adresser, der er tilgængelige på værten. For at identificere sine egne pakker fra resten ignorerer snifferen alt andet, der ikke er en ICMP-ekkopakke og ikke indeholder ICMP-sekvensnummeret 1234, 1235 eller 1236. Under motorhjelmen anvender Pingback en kombination af ICMP og TCP for at opnå bedre ydeevne og pålidelighed.

Vi vil fokusere på, hvordan sikkerhedsadministratorer kan bruge LogPoint til nemt at registrere forskellige trusselsaktørers taktikker, teknikker og procedurer (TTP’er) til at implementere og bruge Pingback-bagdøren.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Hurtige fakta om Pingback

  • Fundet i maj 2021
  • Bruger usædvanlig ICMP til bagdørskommunikation for at undgå detektering
  • Udnytter ægte, pålideligeWindows-processer til at udføre skadelige kommandoer
  • Undersøgelse af indledende indtrængningsmetode er stadig i gang

Detektering af Pingback ved hjælp af LogPoint

Selvom den indledende infektionsvektor i øjeblikket er ukendt, har trusselsaktøren brugt en ondsindet proces updata.exe, som håndterer det primære infektionsstadie. Vi kan nemt detektere den skadelige proces via Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label=”Process” label=Create
(image=”*\updata.exe” ELLER hash_sha1=”d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1″)

Trusseljægere kan køre en mere generisk søgning for at inkludere kilder som antivirus til at holde øje med den ondsindede proces.

(hash="0029c70428a8535a9a3d753e039c8097"
ELLER hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1"
ELLER hash_sha256="4ff77ea841544569e9da8aa3990724d1473731e684a162014ad1ad54e8c8cef2")

Pingback indsætter den ondsindede Oci.dll-fil i systemmappen, som vi kan observere via Sysmons filoprettelseshændelser.

norm_id=WindowsSysmon event_id=11
sti="C:\Windows" file="Oci.dll"

På samme måde kan vi køre en virksomhedsdækkende indikator for kompromissøgning (IoC) efter hashes af den ondsindede DLL.

(hash="264C2EDE235DC7232D673D4748437969"
ELLER hash_sha1="0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F"
ELLER hash_sha256="E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F")

Msdtc-processen indlæser den ondsindede DLL, som vi kan observere i Sysmons billedindlæsningshændelser.

norm_id=WindowsSysmon label=Image label=Load
source_image="*\msdtc.exe" image="C:\Windows\Oci.dll"

Endelig kan vi jage den endelige handling i aktørens persistente installationsfase ved at søge efter serviceændring af msdtc.

norm_id=WindowsSysmon label="Process" label=Create
image="*\sc.exe" command="* config msdtc * start*auto*"

Vi kan også lede efter en vellykket DLL-kapring af msdtc ved at se på mistænkelige underordnede processer i msdtc-processen.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*\msdtc.exe" image IN ["*\cmd.exe", "*\powershell.exe", "*\wscript.exe", "*\cscript.exe"]

Der findes også sigma-regler til detektering af Pingback-malware, men først og fremmest skal sikkerhedsadministratorer have konfigureret passende regler i Sysmon for at logfilerne kan genereres, for at disse detekteringer fungerer. Heldigvis kan Sigma-værktøjet også generere sysmon-regler ud fra sigma-regler, som kan hjælpe sikkerhedsadministratorer med at sikre, at deres sysmon er konfigureret korrekt.

Pingbacks usædvanlige persistensteknik kræver dybdegående forsvar

Selvom det ikke er en ny teknik, bruger malware normalt ikke ICMP til bagdørskommunikation. Den usædvanlige metode understreger Pingbacks persistens med at bruge usædvanlige teknikker til at snige sig forbi typiske sikkerhedsradarer.

Vi må heller ikke glemme, at der er et utal af indbyggede Windows binære, der er modtagelige over for DLL-kapring, og som tilbyder en lang række muligheder for modstandere. En lang række muligheder for hackere gør det vanskeligt for sikkerhedsadministratorer at udføre deres arbejde, da overvågning af alle mulige DLL-kapringsforsøg er en udfordrende opgave. Virksomhedernes forsvarere bør derfor indføre en dybdegående forsvarsteknik og anvende overlappende kontrolforanstaltninger for at minimere antallet af enkelte sårbare punkter som en brugbar mulighed for at opdage trusler, før trusselsaktørerne når deres mål.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser