av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 4 maj 2021 släppte Trustwaves forskare information om ett skadligt program som kallas Pingback och använder en ICMP-tunnel (Internet Control Message Protocol) för sin backdoor-kommunikation. Pingback har flera användbara funktioner i sin arsenal, bland annat kommandoexekvering och upp- och nedladdning av filer, vilket ger hotaktörer ökad flexibilitet.

Pingback uppnår persistens via DLL-kapning (T1574.001) genom den legitima systemprocessen msdtc (Microsoft Distributed Transaction Coordinator). Hotaktörer kan kapa och utnyttja Windows-sökordningen, som läser in DLL-filer, för att exekvera sina egna skadliga DLL-filer. Efter att ha erhållit systembehörigheter laddar hotaktören upp en skadlig oci.DLL-fil i systemkatalogen och msdtc-tjänsten laddas indirekt genom MSDTCTM.DLL.
Som standard körs inte msdtc-tjänsten vid uppstart, och hotaktören använder därför det inbyggda sc-kommandot (service control) (T1543.003) för att konfigurera msdtc-tjänsten att automatiskt köras vid uppstart för persistens. Hotaktörer uppnår persistens via en separat binärfil (updata.exe), som de också använder för att ladda upp den skadliga DLL-filen.

Pingback använder det specifika ICMP-meddelandet echo request (typ 8). Det sniffar efter paket i alla IP-adresser som finns tillgängliga på värden. För att identifiera sina egna paket från resten ignorerar sniffern allt annat som inte är ett ICMP echo-paket och inte innehåller ICMP-sekvensnummer 1234, 1235 eller 1236. Under huven använder Pingback en kombination av ICMP och TCP för bättre prestanda och tillförlitlighet.

Vi kommer att fokusera på hur säkerhetsadministratörer kan använda LogPoint för att enkelt identifiera olika hotaktörers taktiker, tekniker och procedurer (TTP:er) för att installera och använda Pingback som backdoor.

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Snabbfakta om Pingback

  • Upptäcktes i maj 2021
  • Använder en ovanlig ICMP för backdoor-kommunikation för att undvika att detektion
  • Använder legitima och betrodda Windows-processer för att exekvera skadliga kommandon
  • Undersökningen av den initiala intrångsmetoden pågår fortfarande

Identifiera Pingback med hjälp av LogPoint

Även om den initiala infektionsvektorn för närvarande är okänd, har hotaktören använt den skadliga processen updata.exe, som hanterar huvudinfektionsstadiet. Vi kan enkelt upptäcka den skadliga processen via Sysmons processkapande händelser.

norm_id=WindowsSysmon label=”Process” label=Create
(image=”*\updata.exe” OR hash_sha1=”d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1″)

Den som söker efter tecken på intrång kan göra en mer allmän sökning för att inkludera källor som antivirus för att hålla utkik efter den skadliga processen.

(hash="0029c70428a8535a9a3d753e039c8097"
OR hash_sha1="d76a7c6f6685eb5b5cd6d1559dda494dd1276ee1"
OR hash_sha256="4ff77ea841544569e9da8aa3990724d1473731e684a162014ad1ad54e8c8cef2")

Pingback laddar upp den skadliga filen Oci.dll till systemkatalogen, vilket vi kan se via Sysmons filskapande händelser.

norm_id=WindowsSysmon event_id=11
path="C:\Windows" file="Oci.dll"

På samma sätt kan vi göra en företagsomfattande IoC-sökning (Indicator of Compromise) efter den skadliga DLL-filen.

(hash="264C2EDE235DC7232D673D4748437969"
OR hash_sha1="0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F"
OR hash_sha256="E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F")

Msdtc-processen laddar den skadliga DLL-filen som vi kan se i Sysmons bildinläsningshändelser.

norm_id=WindowsSysmon label=Image label=Load
source_image="*\msdtc.exe" image="C:\Windows\Oci.dll"

Slutligen kan vi söka efter den slutliga handlingen i aktörens persistensinstallationsfas genom att söka efter modifieringar av msdtc-tjänsten.

norm_id=WindowsSysmon label="Process" label=Create
image="*\sc.exe" command="* config msdtc * start*auto*"

Vi kan också söka efter framgångsrik DLL-kapning av msdtc genom att granska misstänkta underordnade processer i msdtc-processen.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*\msdtc.exe" image IN ["*\cmd.exe", "*\powershell.exe", "*\wscript.exe", "*\cscript.exe"]

Sigma-regler finns också tillgängliga för att identifiera skadlig kod från Pingback, men först och främst måste administratörerna ha konfigurerat lämpliga regler i Sysmon för att loggarna ska genereras. Lyckligtvis kan Sigma-verktyget också generera Sysmon-regler från Sigma-regler som kan hjälpa säkerhetsadministratörer att säkerställa att Sysmon är korrekt konfigurerat.

Pingbacks ovanliga peristensteknik kräver djupförsvar

Även om det inte är en ny teknik, använder skadlig programvara vanligen inte ICMP för backdoor-kommunikation. Den ovanliga metoden betonar Pingbacks persistens i att använda ovanliga tekniker för att förbigå typiska detekteringsmetoder.

Det finns dessutom mängder av inbyggda Windows binärfiler som är sårbara för DLL-kapning och erbjuder många alternativ för angripare. Ett stort antal möjligheter för hackare försvårar säkerhetsadministratörers arbete eftersom övervakning av alla potentiella DLL-kapningsförsök är en enorm uppgift. Således bör säkerhetsansvariga upprätta djupförsvarsteknik och använda överlappande kontroller för att minimera antalet enstaka felpunkter som ett genomförbart alternativ för att identifiera hot innan hotaktörerna uppnår sina mål.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews