Trustwaveは5月4日(米国時間)、「Pingback: Backdoor At The End Of The ICMP Tunnel|Trustwave」において、最近の侵入調査で分析したマルウェア「Pingback」について伝えた。このマルウェアは持続性を実現するためのバックドア通信にICMPトンネリングを使い、さらに攻撃の成功を高めるためにさまざまなモードで動作するという特徴的な動きをしていたと指摘されている。

  • Pingback: Backdoor At The End Of The ICMP Tunnel|Trustwave

    Pingback: Backdoor At The End Of The ICMP Tunnel | Trustwave

ICMPトンネリング自体は新しい技術ではなく、以前から使われている。今回Trustwaveが発見し分析した「Pingback」は、セキュリティ・ソフトウェアによる検出を回避するためにこの技術を駆使していたという点で興味深いとされている。

ICMPはネットワークにおけるネットワーク機器診断や制御などに用いられることが多い。便利なプロトコルだが、セキュリティの観点から遮断すべきという議論がなされることもある。TrustwaveはICMPを無効化することは提案しないとしつつ、PingbackのようにICMPの悪用を検出するためにモニタリングすることを提案している。

モニタリングのポイントとしては、パケットがICMPエコーであるかどうか(タイプ8)、データサイズが788バイト以上であるかどうか、ICMPシーケンス番号が1234、1235、1236であるかどうか、ICMPデータパケットにdownload、upload、exec、exep、rexec、shellなどのバックドアコマンドが含まれているかどうか、などをチェックすることが薦められている。

なお、Pingbackはボット通信にICMPトンネリングのテクニックを活用しており、侵入そのものには使っていないと説明しており、どうやってネットワークの内部に侵入したのかは現在調査中としている。