Qualcun altro ha visto comandi incorporati in una richiesta echo ICMP?

Question

Qualcun altro ha visto comandi incorporati in una richiesta echo ICMP?

#1 da (4 voti)
#2 da (-1 voti)

5

Il mio IPS ha recentemente rilevato un pacchetto ICMP di tipo 8 (richiesta echo) con un payload insolito.

Il comando di richiesta echo un frammento di un comando che sembrava parte di una route add. Ecco un PCAP del carico utile dei dati ICMP.

.&.1Y..! .b....E. ..x..z. ...).... ....(4.. ......e -p ADD 1 72.16.1. 21 MASK 255.255. 255.255 10.18.12 .33..... ..

L'IPS lo ha etichettato come traffico tunneling Loki, ma è limitato a un singolo pacchetto. Ho pensato che potesse essere una presa casuale dalla memoria, ma ho visto lo stesso identico pacchetto pochi giorni dopo.

Qualcuno ha mai visto qualcosa di simile prima?

network malware ids

posta AviD 05.04.2011 - 20:11

fonte

2 risposte

Leggi altre domande sui tag network malware ids

Come rilevare le macchine infette sul mio wifi? Avvelenamento da ARP sulla rete wireless - nessun pacchetto

score 4 · Answer 1

Ah, tunneling ... SSH, DNS , ICMP , netcat, VPN personalizzata ... tu lo chiami. A volte noto come "dammi il wifi gratuito" e in altri casi come "dammi la tua rete".

Non conosco quel payload specifico (come compromesso), ma so che puoi mettere le cose su ICMP. Dai un'occhiata ai pacchetti circostanti. Questo mi ricorda il vecchio gag "ATH +++". Potrebbe essere un simile exploit per qualcosa che viene sballottato a caso. Mi piacerebbe dare di più per una risposta, ma penso che avrei bisogno di più per andare avanti.

score -1 · Answer 2

-1

il bug è un bug nelle recenti implementazioni di dhclient, che consente di eseguire i comandi della shell da remoto.
non so perché ICMP echo, se è comunque correlato,

risposta data 06.04.2011 - 16:13

fonte