von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am 4. Mai 2021 veröffentlichten Trustwave-Forscher Details zu einer Malware namens Pingback, die einen ICMP-Tunnel (Internet Control Message Protocol) für ihre Backdoor-Kommunikation nutzt. Pingback hat mehrere nützliche Fähigkeiten in seinem Arsenal, wie das Ausführen von Befehlen und das Hoch- und Herunterladen von Dateien, was den Threat-Akteuren Flexibilität verleiht.

Pingback erreicht Langlebigkeit durch DLL-Hijacking (T1574.001) über den legitimen Systemprozess msdtc (Microsoft Distributed Transaction Coordinator). Threat-Akteure können die Suchreihenfolge von Windows, mit der DLLs geladen werden, übernehmen und ausnutzen, um ihre eigenen bösartigen DLLs auszuführen. Nachdem er Systemrechte erlangt hat, legt der Threat-Akteur eine bösartige oci.dll im Systemverzeichnis ab, die der msdtc-Dienst indirekt über MSDTCTM.DLL lädt.
Standardmäßig wird der msdtc-Dienst beim Start nicht ausgeführt. Daher verwendet der Threat-Akteur den integrierten Befehl sc (Service Control) (T1543.003), um den msdtc-Dienst so zu konfigurieren, dass er beim Start automatisch ausgeführt wird, um dauerhaft zu bleiben. Bedrohungsakteure erreichen Langlebigkeit über eine separate Binärdatei( updata.exe), die sie auch zum Ablegen der bösartigen DLL verwenden.

Pingback verwendet speziell die ICMP-Meldung Echo-Request (Typ 8). Er erschnüffelt Pakete an jeder auf dem Host verfügbaren IP-Adresse. Um seine eigenen Pakete vom Rest zu unterscheiden, ignoriert der Sniffer alles, was kein ICMP-Echo-Paket ist und nicht die ICMP-Sequenznummer 1234, 1235 oder 1236 enthält. Unter der Haube verwendet Pingback eine Kombination aus ICMP und TCP für bessere Leistung und Zuverlässigkeit.

Wir konzentrieren uns darauf, wie Sicherheitsadministratoren und SOCs mit LogPoint auf einfache Weise die Taktiken, Techniken und Verfahren (TTPs) verschiedener Threat-Akteure erkennen können, um die Ping-Backdoor einzusetzen und zu nutzen.

Pingback-Schnellinformationen

  • Entdeckt im Mai 2021
  • Verwendet ungewöhnliches ICMP für die Backdoor-Kommunikation, um die Erkennung zu umgehen
  • Nutzt echte, vertrauenswürdigeWindows-Prozesse aus, um schädliche Befehle auszuführen
  • Die Untersuchung der anfänglichen Intrusionsmethode ist noch nicht abgeschlossen

Pingback-Erkennung mit LogPoint

Obwohl der anfängliche Infektionsvektor derzeit unbekannt ist, hat der Threat-Akteur einen bösartigen Prozess updata.exe verwendet, der die Hauptinfektionsphase abwickelt. Wir können den bösartigen Prozess leicht über die Prozesserstellungsereignisse von Sysmon erkennen.

norm_id=WindowsSysmon label="Prozess" label=Erstellen
(image="*\updata.exe" ODER hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1′′)

Die Gefahrenjäger können eine allgemeinere Suche durchführen und Quellen wie Antivirenprogramme einbeziehen, um nach dem bösartigen Prozess zu suchen.

(hash="0029c70428a8535a9a3d753e039c8097)
ODER hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1"
ODER hash_sha256="4ff77ea841544569e9da8aa3990724d1473731e684a162014ad1ad54e8c8cef2")

Pingback legt die bösartige Datei Oci.dll im Systemverzeichnis ab, was wir über die Dateierstellungsereignisse von Sysmon beobachten können.

norm_id=WindowsSysmon event_id=11
path="C:\Windows" file="Oci.dll"

Auf ähnliche Weise können wir eine unternehmensweite Indikator-of-Compromise (IoC)-Suche nach Hashes der bösartigen DLL durchführen.

(hash="264C2EDE235DC7232D673D4748437969"
ODER hash_sha1="0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F"
ODER hash_sha256="E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F")

Der msdtc-Prozess lädt die bösartige DLL, was wir in den Bildladeereignissen von Sysmon beobachten können.

norm_id=WindowsSysmon label=Image label=Laden
source_image="*\msdtc.exe" image="C:\Windows\Oci.dll"

Schließlich können wir nach dem letzten Akt in der Phase der Installation der Langlebigkeit des Akteurs suchen, indem wir nach der Dienständerung von msdtc suchen.

norm_id=WindowsSysmon label="Process" label=Create
image="*\sc.exe" command="* config msdtc * start*auto*"

Wir können auch nach einem erfolgreichen DLL-Hijacking von msdtc suchen, indem wir uns verdächtige Unterprozesse des msdtc-Prozesses ansehen.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*\msdtc.exe" image IN ["*\cmd.exe", "*\powershell.exe", "*\wscript.exe", "*\cscript.exe"]

Sigma-Regeln sind auch für die Erkennung von Pingback-Malware verfügbar. Damit diese Erkennungen funktionieren, müssen Sicherheitsadministratoren jedoch in erster Linie entsprechende Regeln in Sysmon konfiguriert haben, damit die Protokolle erstellt werden können. Glücklicherweise kann das Sigma-Tool auch Sysmon-Regeln generieren (aus Sigma-Regeln), was Sicherheitsadministratoren helfen kann, sicherzustellen, dass ihr Sysmon korrekt konfiguriert ist.

Die ungewöhnliche Langlebigkeit von Pingback erfordert eine tiefgreifende Verteidigung

Obwohl es sich nicht um eine neue Technik handelt, verwendet Malware ICMP normalerweise nicht für Backdoor-Kommunikation. Die ungewöhnliche Methode unterstreicht die Langlebigkeit, mit der Pingback ungewöhnliche Techniken einsetzt, um an typischen Sicherheitsradaren vorbeizukommen.

Und nicht zu vergessen: Es gibt unzählige eingebaute Windows-Binärdateien, die für DLL-Hijacking anfällig sind und eine Fülle von Optionen für Angreifer bieten. Eine große Anzahl von Möglichkeiten für Hacker macht die Arbeit von Sicherheitsadministratoren und SOCs schwierig, da die Überwachung aller möglichen DLL-Hijacking-Versuche eine gewaltige Aufgabe ist. Daher sollten Sicherheitsverantwortliche in Unternehmen eine „Defense-in-Depth“-Technik durchsetzen und überlappende Kontrollen verwenden, um „Single Points of Failure“ zu minimieren, als eine praktikable Option, um Bedrohungen zu erkennen, bevor die Threat-Akteure ihre Ziele erreichen.