Hari ini, para peneliti telah mengungkapkan temuan mereka pada sampel malware Windows baru yang menggunakan Internet Control Message Protocol (ICMP) untuk aktivitas command-and-control (C2).
Dijuluki “Pingback”, malware ini menargetkan sistem Microsoft Windows 64-bit, dan menggunakan DLL Hijacking untuk terus bertahan.
Hari ini, arsitek senior Trustwave Lloyd Macrohon dan peneliti keamanan utama Rodel Mendrez, telah merilis temuan mereka tentang malware Windows baru yang berbentuk DLL 64-bit.
Yang perlu diperhatikan adalah sampel malware menggunakan protokol komunikasi ICMP, yang juga digunakan oleh perintah ping populer dan utilitas Windows traceroute.
File berbahaya yang dimaksud hanyalah DLL 66-KB yang disebut oci.dll, dan biasanya dijatuhkan di dalam folder “Sistem” Windows oleh proses berbahaya atau vektor serangan lainnya.
Para peneliti lalu menyadari bahwa DLL ini tidak dimuat oleh aplikasi Windows rundll32.exe yang sudah dikenal, tetapi mengandalkan DLL Hijacking.
Peneliti Trustwave mengidentifikasi bahwa itu adalah layanan Microsoft Distributed Transaction Control (msdtc) yang disalahgunakan untuk memuat oci.dll yang berbahaya.
Malware oci.dll yang diluncurkan oleh msdtc, menggunakan ICMP untuk secara diam-diam menerima perintah dari server C2-nya.
Peneliti Trustwave yang menamai malware ini “Pingback”, menyatakan bahwa keuntungan menggunakan ICMP untuk komunikasi adalah Pingback tetap tersembunyi secara efektif dari pengguna.
Selengkapnya: Bleeping Computer