มัลแวร์ Pingback ใช้ ICMP Tunneling เพื่อหลบเลี่ยงการตรวจจับ
18 พฤษภาคม 2021
นักวิจัยด้านความปลอดภัยออกประกาศพบมัลแวร์ Pingback ในระบบปฏิบัติการ Windows ที่ใช้ช่องทาง Internet Control Message Protocol (ICMP) ในการปกปิดการสื่อสาร ทำให้แฮกเกอร์สามารถใช้ ICMP packet กับ piggyback attack code ได้
โดยวิธีการคือมัลแวร์ Pingback จะถูกโหลดเข้าสู่เครื่องของผู้ใช้งานผ่าน service MSDTC (Microsoft Distributed Transaction Coordinator) เพื่อควบคุมเครื่องคอมพิวเตอร์ (วิธีนี้เรียกว่า DLL search order hijacking ) จากนั้นจะโหลดไฟล์ DLL (oci.dll) ที่เป็นอันตรายและติดตั้งใน Windows System Directory เมื่อติดตั้งเสร็จมัลแวร์ Pingback จะใช้ ICMP protocol ในการสื่อสารเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นแฮกเกอร์จึงแก้ไขโค้ดเพื่อยกระดับสิทธิ์ของตัวเองในการเข้าควบคุมเครื่องและก่อความเสียหายต่าง ๆ
สำหรับวิธีการที่ใช้ ICMP Tunneling เพื่อหลบเลี่ยงการตรวจจับนี้ ไม่ใช่เรื่องใหม่แต่อย่างใดและเคยมีเหตุการณ์นี้เกิดขึ้นมาแล้ว เพียงแต่ใช้มัลแวร์ที่แตกต่างกันไปตามแต่จุดประสงค์ของแฮกเกอร์ อย่างไรก็ตามมัลแวร์ Pingback กำลังอยู่ระหว่างการตรวจหาวิธีการบุกรุกและแก้ไข ขอให้ผู้ใช้งานระบบปฏิบัติการ Windows ติดตามการประกาศแก้ไขแพทซ์อีกครั้งในเร็ว ๆ นี้
ที่มา: https://thehackernews.com/2021/05/new-pingback-malware-using-icmp.html
บทความที่เกี่ยวข้อง