Pingback Malware

Pingbackマルウェアという名前のWindows特有の脅威の詳細は、Trustwaveがリリースしたブログ投稿で概説されています。この特定の脅威は、コマンドアンドコントロール（C2、C＆C）サーバーとの通信をICMP（インターネット制御メッセージプロトコル）に依存しているため、研究者の注目を集めました。さらに、この脅威は、DLLハイジャック技術で正規のWindowsサービスを利用します。

Pingbackマルウェアは、サイズがかなり小さく、わずか66KBの「oci.dll」という名前のDLLファイルで構成されています。このファイルは通常、WindowsOSの「システム」フォルダ内にドロップされます。破損したファイルは、通常のrundll32.exeによって読み込まれる代わりに、DLLハイジャックを使用して、msdtc（Microsoft Distributed Transaction Control）という名前の別の正当なWindowsプロセスに「oci.dll」を実行させます。

初期妥協ベクトル

これまでのところ、ピンバックを配信するために使用される初期ベクトルは、100％確実に確立されていません。ただし、特定の証拠は、「updata.exe」という名前の別のマルウェアサンプルが関与している可能性があることを示唆しています。結局のところ、「updata.exe」の分析により、msdtcの動作を変更する一連のコマンドを実行しながら、「oci.dll」ファイルを削除することが明らかになりました。

sc停止msdtc
sc config msdtc obj = Localsystem start = auto
sc start msdtc

ICMPを介した通信

侵害されたシステム上で自身を確立した後、Pingbackマルウェアは、攻撃者が任意のコマンドを起動できるようにします。ただし、その前に、脅威はC2サーバーとの通信を確立する必要があります。 Pingbackの作成者は、有害なツールとそのサーバー間を行き来するトラフィックをICMPに依存することにより、かなり斬新なアプローチを実装することを決定しました。 ICMPはポートを必要とせず、TCPまたはUDPに依存しないため、脅威をユーザーから効果的に隠すことができます。実際には、脅威は特定の診断ツールでは検出できません。

ピングバックは、感染したシステムが受信したすべてのICMPパケットを調べ、シーケンス番号が1234、1235、および1236のパケットを選択します。1235および1236パケットは、どちらかの端で要求が受信されたことの確認として機能しますが、1234パケットは脅威アクターの実際の危険なコマンドを実行します。 C2からのデータには、shell、download、exec、uploadなどのコマンドを含めることができます。

Trustweaveブログの投稿には、Pingbackマルウェアに関連する特定の侵入の痕跡（IoC）が記載されています。

ファイル：oci.dll
SHA256：E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1：0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5：264C2EDE235DC7232D673D4748437969

通信網：
ICMPタイプ= 8
シーケンス番号：1234 | 1235 | 1236
データサイズ：788バイト