Par Bhabesh Raj Rai, Associate Security Analytics Engineer

Le 4 mai 2021, les chercheurs de Trustwave ont publié les détails d’un malware appelé Pingback qui utilise un tunnel ICMP (Internet Control Message Protocol) pour ses communications de type backdoor. Pingback dispose de plusieurs compétences, plutôt utiles, telles que l’exécution de commandes et l’uploading et le téléchargement de fichiers, donnant ainsi de la flexibilité aux acteurs malveillants.

Pingback met en place la persistance via le piratage de DLL (T1574.001) en passant par le processus système légitime msdtc (Microsoft Distributed Transaction Coordinator). Les acteurs malveillants peuvent pirater et exploiter l’ordre de recherche de Windows, qui charge les DLL, pour exécuter leurs propres DLL malveillantes. Après avoir obtenu les privilèges système, ces derniers déposent un oci.dll malveillant dans le répertoire système, le service msdtc se charge alors indirectement via MSDTCTM.DLL.
Par défaut, le service msdtc ne s’exécute pas au démarrage, donc l’acteur malveillant utilise la commande sc (service control) intégrée (T1543.003) pour configurer le service msdtc afin qu’il s’exécute automatiquement au démarrage afin d’établir la persistance. Les acteurs malveillants parviennent à mettre en place la persistance via un binaire distinct (updata.exe), qu’ils utilisent également pour supprimer la DLL malveillante.

Pingback utilise spécifiquement le message de requête Echo ICMP (type 8). Il scrute les paquets dans chaque adresse IP disponible sur l’hôte. Pour identifier ses propres paquets des autres, le sniffer ignore tout ce qui n’est pas un paquet de type Echo ICMP et ne contient pas le numéro de séquence ICMP 1234, 1235 ou 1236. Au niveau de son fonctionnement interne, Pingback utilise une combinaison ICMP et TCP pour améliorer ses performances et sa fiabilité.

Nous nous concentrerons sur la manière avec laquelle les administrateurs de sécurité pourront utiliser LogPoint afin de détecter facilement les Tactiques, Techniques et Procédures (TTP) des différents acteurs malveillants pour déployer et utiliser la backdoor Pingback.

Détection de Pingback avec LogPoint

Bien que le vecteur d’infection initial soit actuellement inconnu, l’attaquant a utilisé un processus malveillant updata.exe, qui gère l’étape principale de l’infection. Nous pouvons détecter facilement le processus malveillant via les événements de création de processus de Sysmon.

norm_id=WindowsSysmon label="Process" label=Create
(image="*\updata.exe" OR hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1")

Les traqueurs de menaces peuvent exécuter une recherche plus générique pour inclure des sources telles que l’antivirus afin de rechercher le processus malveillant.

(hash="0029c70428a8535a9a3d753e039c8097"
OR hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1"
OR hash_sha256="4ff77ea841544569e9da8aa3990724d1473731e684a162014ad1ad54e8c8cef2")

Pingback dépose alors le fichier Oci.dll malveillant dans le répertoire système, que nous pouvons observer via les événements de création de fichier de Sysmon.

norm_id=WindowsSysmon event_id=11
path="C:\Windows" file="Oci.dll"

De même, nous pouvons exécuter une recherche d’indicateur de compromission (IoC) à l’échelle de l’entreprise concernant les hachages de la DLL malveillante.

(hash="264C2EDE235DC7232D673D4748437969"
OR hash_sha1="0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F"
OR hash_sha256="E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F")

Le processus msdtc charge alors la DLL malveillante, que nous pouvons observer dans les événements de chargement d’image de Sysmon.

norm_id=WindowsSysmon label=Image label=Load
source_image="*\msdtc.exe" image="C:\Windows\Oci.dll"

Enfin, nous pouvons rechercher l’acte final dans la phase d’installation de la persistance par l’acteur malveillant en recherchant la modification de service de msdtc.

norm_id=WindowsSysmon label="Process" label=Create
image="*\sc.exe" command="* config msdtc * start*auto*"

Nous pouvons également rechercher tout piratage de DLL réussi au niveau de msdtc en examinant les processus enfants suspects du processus msdtc.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*\msdtc.exe" image IN ["*\cmd.exe", "*\powershell.exe", "*\wscript.exe", "*\cscript.exe"]

Les règles Sigma sont également disponibles pour détecter les malwares Pingback, mais avant tout, pour que ces détections fonctionnent, les administrateurs de sécurité doivent avoir configuré les règles appropriées dans Sysmon pour que les logs soient générés. Heureusement, l’outil Sigma peut également générer des règles sysmon à partir de règles sigma, pouvant ainsi aider les administrateurs de sécurité à s’assurer que leur sysmon soit configuré correctement.

La technique de persistance inhabituelle de Pingback nécessite une défense en profondeur

Bien qu’il ne s’agisse pas d’une technique nouvelle, les malwares n’utilisent généralement pas ICMP pour les communications de type backdoor. Cette méthode inhabituelle met en évidence la persistance de Pingback qui s’appuie sur des techniques peu communes pour échapper aux radars de sécurité classiques.

Sans oublier qu’il existe de très nombreux binaires Windows intégrés et susceptibles de pirater des DLL, offrant ainsi toute une panoplie d’options pour les adversaires. Un grand nombre d’opportunités pour les pirates rend le travail des administrateurs de sécurité difficile car la surveillance de toutes les tentatives de piratage de DLL est une tâche très complexe. Ainsi, les défenseurs des entreprises devraient plutôt mettre en œuvre une technique de défense en profondeur et utiliser des contrôles chevauchants pour minimiser les points de défaillance uniques. Cette approche apparait donc comme une option viable pour détecter les menaces avant que les acteurs malveillants n’atteignent leurs objectifs.