นักวิจัยด้านความปลอดภัยออกประกาศพบมัลแวร์ Pingback ในระบบปฏิบัติการ Windows ที่ใช้ช่องทาง Internet Control Message Protocol (ICMP) ในการปกปิดการสื่อสาร ทำให้แฮกเกอร์สามารถใช้ ICMP packet กับ piggyback attack code ได้

โดยวิธีการคือมัลแวร์ Pingback จะถูกโหลดเข้าสู่เครื่องของผู้ใช้งานผ่าน service MSDTC (Microsoft Distributed Transaction Coordinator) เพื่อควบคุมเครื่องคอมพิวเตอร์ (วิธีนี้เรียกว่า DLL search order hijacking ) จากนั้นจะโหลดไฟล์ DLL (oci.dll) ที่เป็นอันตรายและติดตั้งใน Windows System Directory เมื่อติดตั้งเสร็จมัลแวร์ Pingback จะใช้ ICMP protocol ในการสื่อสารเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นแฮกเกอร์จึงแก้ไขโค้ดเพื่อยกระดับสิทธิ์ของตัวเองในการเข้าควบคุมเครื่องและก่อความเสียหายต่าง ๆ

สำหรับวิธีการที่ใช้ ICMP Tunneling เพื่อหลบเลี่ยงการตรวจจับนี้ ไม่ใช่เรื่องใหม่แต่อย่างใดและเคยมีเหตุการณ์นี้เกิดขึ้นมาแล้ว เพียงแต่ใช้มัลแวร์ที่แตกต่างกันไปตามแต่จุดประสงค์ของแฮกเกอร์ อย่างไรก็ตามมัลแวร์ Pingback กำลังอยู่ระหว่างการตรวจหาวิธีการบุกรุกและแก้ไข ขอให้ผู้ใช้งานระบบปฏิบัติการ Windows ติดตามการประกาศแก้ไขแพทซ์อีกครั้งในเร็ว ๆ นี้

ที่มา: https://thehackernews.com/2021/05/new-pingback-malware-using-icmp.html

 

Tagged on:


เนื้อหาที่เกี่ยวข้อง

1. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ

2. นักวิจัย Google พบรูปแบบโจมตีใหม่ของ Rowhammer

3. 23 Android แอปฯ ในสโตร์เปิดเผยข้อมูลผู้ใช้กว่า 100 ล้านบัญชี

4. ช่องโหว่ FragAttacks อาจกระทบอุปกรณ์ Wi-Fi จำนวนมาก

5. DarkSide ransomware โจมตีบริษัทจำหน่ายเคมีภัณฑ์อเมริกาเหนือ