Malware / vulnerabilità che utilizza o causa intestazioni IP o TCP malformate

Naviga le tue risposte
4

Sono curioso di sapere se esistono esempi di intestazioni IP o TCP malformate (ad esempio, checksum che non corrispondono, bit riservati che non sono pari a zero o numeri di lunghezza di intestazione scadenti) utilizzati dal malware o che sono usato negli exploit.

Esempi che (se fossero veri) meriterebbero di essere menzionati:

  • Lo stack TCP del venditore X non gestisce una lunghezza di intestazione di < 5 correttamente e si arresta in modo anomalo quando lo incontra.

  • Una botnet che utilizza i bit riservati dell'intestazione TCP che invia per inviare messaggi in giro.

posta Andrew Spott 14.07.2015 - 21:44
fonte

2 risposte

1

Ci sono state vulnerabilità negli host con implementazioni TCP imperfette in cui le richieste errate potrebbero causare un arresto anomalo. Non so che ho visto qualcosa infettare una macchina e quindi scegliere di spezzare il TCP giocando con le intestazioni. Ecco un esempio di bug di crash causato da cattiva intestazione:

link

L'utilizzo dei bit riservati (6 bit in IPv4) nell'intestazione sarebbe molto inefficiente e non è qualcosa che abbia mai visto allo stato selvaggio . È plausibile, ma in generale non mi aspetterei di vederlo poiché è qualcosa di molto insolito e sarebbe facile identificarlo e filtrarlo. Mi sono guardato in giro online e non ho trovato nulla di solido identificando questo comportamento in uso oggi.

C'è un documento SANS sull'uso di parti del pacchetto TCP per il passaggio segreto di dati che copre abbastanza bene questo argomento: link

    
risposta data 26.08.2015 - 02:34
fonte
0

Discussione generale su IPv6 utilizzato dal malware (2014)
link

Include CVE-2014-2309 e CVE-2014-0254 che utilizzano pacchetti non validi per causare DoS.

VoodooNet (2006)
link

VoodooNet ha utilizzato ICMPv6 per inviare dati.

Scapy usato per creare un canale nascosto usando IPv6:
link

Opzione di destinazione L'intestazione dell'estensione di IPv6 viene utilizzata per passare informazioni segrete.

Ricerca su 22 diversi canali segreti usando IPv6 (2006) link

    
risposta data 26.08.2015 - 03:04
fonte

Leggi altre domande sui tag

ARP Spoofing Attack? Rilevata attività di rete altamente sospetta in Wireshark [chiuso] Utilizzo del cipher da parte degli utenti finali e dei browser