PingBack, il malware che si nasconde dietro un ping
#Pingback è un malware in grado di comunicare con il proprio #C2 tramite il protocollo #ICMP e evadere i controlli #antivirus grazie al fatto che la comunicazione non comporta l'utilizzo di nessunoa porta TCP o UDP.
La tecnica utilizzata per questo tipo di attacco è chiamata #Piggyback che indica la capacità di un attaccante di inserirsi in una comunicazione e sfruttare i momenti di "silenzio" per inviare i propri messaggi.
Il protocollo ICMP è di livello 3, quindi lavorando a livello IP non comporta l'utilizzo di porte che servirebbero al livello successivo e questo aumenta la sua capacità di #steathness (invisibilità rispetto ai classici antivirus).
Questo #malware quando infetta una macchina installa la dll OCI.dll utilizzata dal servizio #MSDTC (Microsoft Distribuited Transaction Coordinator) che viene caricata grazie alla famosisima tecnica Dll Search Order Hijacking (questa tecnica la ho spiegata in un'altra pillola).
In pratica per mettersi in contatto con il proprio C2 viene utilizzato il protocollo ICMP ed in particolare la Echo Request (messaggio ICMP di tipo 8) alla quale associa i sequence number 1234, 1235 e 1236. Il primo sequence number viene utilizzato per indicare che il #payload è un comando da eseguire o un dato, gli altri due vengono utilizzati come Ack.
In pratica la tecnica di Piggyback utilizzata crea un tunnel ICMP!

Tweet