安全是有分量的

云防护_ddos防护路由器_秒解封

2022-05-10 18:10栏目:行业

云防护_ddos防护路由器_秒解封

今天,研究人员披露了他们对一种新型Windows恶意软件样本的发现,该样本使用互联网控制消息协议(ICMP)进行指挥和控制(C2)活动。

这个被称为"Pingback"的恶意软件以Microsoft Windows 64位系统为目标,并使用DLL劫持来获得持久性。

今天,Trustwave高级架构师Lloyd Macrohon和首席安全研究员Rodel Mendrez发布了他们关于一种新型Windows恶意软件的发现,该软件以64位DLL的形式存在。

值得注意的是,恶意软件样本选择的通信协议为ICMP,网站防御ddos,流行的ping命令和Windows traceroute实用程序也使用ICMP。

所讨论的恶意文件只是一个称为oci的66 KB DLL。DLL,通常在Windows"系统"文件夹中被另一个恶意进程或攻击向量删除。研究人员很快意识到这个DLL并不是由熟悉的Windows应用程序rundll32加载的。exe,但却依赖DLL劫持。

Macrohon和Mendrez表示:"在我们最初的筛选过程中,我们知道该文件可疑,但我们无法确定它是如何加载到系统中的,因为DLL不是通过传统的rundll32.exe加载的。"DLL劫持是攻击者在Windows系统上使用的一种技术,它涉及将恶意DLL文件放置在Windows操作系统信任的文件夹中,静态资源高防cdn,以便合法的系统应用程序拾取并运行恶意DLL文件。

通过这种方式,攻击者可以利用真实可信的Windows进程执行其任意恶意代码。

去年,BleepingComputer报告说,大约300个Windows可执行文件可能被滥用来劫持DLL。

在这种情况下,Trustwave的研究人员发现是微软分布式事务控制(msdtc)服务被滥用来加载恶意oci。dll.

事实上,msdtc。根据普华永道研究员维特兹·比克马(Wietze Beukema)的汇编,exe出现在300多个Windows可执行文件的列表中,这些文件是DLL劫持的最佳候选文件。

启动时,Windows msdtc服务将搜索3个要加载的DLL:oci。dll,SqlLib80。dll和xa80。dll.

真正的保监处。dll表示用于支持Oracle数据库并与之交互的Oracle库(Oracle调用接口)。但是,这里有一个问题:

"默认情况下,三个Oracle DLL不存在于Windows系统目录中。"

"因此,理论上,具有系统权限的攻击者可以删除恶意DLL,并使用MTxOCI加载的DLL文件名之一进行保存,"研究人员解释道尽管研究人员尝试在Windows上删除所有3个DLL文件名,但他们发现只有oci。msdtc服务可以无缝加载dll。

但是,恶意的oci在哪里。dll来自?

虽然初始输入向量仍在调查中,但研究人员怀疑另一个恶意软件样本Updatea。exe是两个删除恶意oci的幕后黑手。Windows"系统"文件夹中的dll,并将msdtc配置为在每次启动时运行。

正如BleepingComputer分析的,Updatea。exe确实执行一系列命令来配置msdtc以持续运行,并进一步删除oci。dll:

oci。dll恶意软件一旦由msdtc启动,就会使用ICMP从其C2服务器秘密接收命令。

Trustwave的研究人员将此恶意软件命名为"Pingback",他们表示,使用ICMP进行通信的优势在于Pingback对用户有效隐藏。

这是因为ICMP没有"端口"的概念,并且既不使用TCP也不使用UDP。因此,保监处。诊断工具(如netstat)可能无法拾取dll。

但是,每个ICMP数据包,确实包含一个"数据"字段,该字段具有足够的空间,可以在该字段中插入自定义数据并在两个系统之间来回传输:

"ICMP数据段是攻击者可以利用它将任意数据发送到远程主机的位置。远程主机以相同的方式通过[piggybacking]进行响应将应答发送到另一个ICMP数据包并将其发送回,"解释Macrohon和Mendrez.

Pingback恶意软件(oci.dll)只需侦听受感染系统上的任何和所有入站ICMP数据包,并有选择地解析序列号为1234、1235或1236的数据包。

序列号为1234的传入ICMP数据包向恶意进程指示此请求包含有效负载或命令,我的世界ddos防御,而1235和1236是Pingback跟踪并确认两端是否收到请求的方式。

接收到的数据可能包含诸如shell、download、upload、exec等C2命令。

本质上,这些命令用于在攻击者控制的服务器和受感染的系统之间来回传输数据,并使远程攻击者能够在受感染的系统上执行其他任意命令。

电脑也注意到了,如何用cdn防御ddos,oci。dll引用了一个以Visual Studio 2008命名的虚构文件路径,该路径可能在偶然观察者看来包含合法的项目数据,但可能被Pingback恶意软件用于其邪恶活动,高防亚洲cdn,例如数据存储:

"ICMP隧道不是新的,但这个特定的样本激发了我们的兴趣,因为它是一个真实世界的恶意软件示例,使用这种技术来逃避检测,"研究人员说但是,由于ICMP也有合法的用例作为诊断工具,研究人员的建议是不要禁用它,而是建立监测机制来检测任何可疑的ICMP流量。

Trustwave的一篇博客文章提供了详细的技术发现。研究人员还创建了一个概念验证C2机器人来演示Pingback的一些命令。

与Pingback恶意软件相关的危害指标(IOC)如下所示: