IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Packet

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

بدافزار جدید Pingback و استفاده از ICMP Tunneling برای فرار از شناسایی C&C

takian.ir pingback malware

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

takian.ir icmp data

 

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".