¿Alguien más ha visto comandos incrustados en una solicitud de eco ICMP?

5

Mi IPS detectó recientemente un paquete ICMP de tipo 8 (solicitud de eco) con una carga útil inusual.

El comando de solicitud de eco es un fragmento de un comando que parecía parte de una ruta agregada. Aquí hay un PCAP de la carga útil de datos ICMP.

.&.1Y..! .b....E.
..x..z. ...)....
....(4.. ......e
-p ADD 1 72.16.1.
21 MASK 255.255.
255.255 10.18.12
.33..... ..

El IPS lo etiquetó como tráfico de túneles de Loki, pero está limitado a un solo paquete. Pensé que podría ser una captura aleatoria de la memoria, pero vi exactamente el mismo paquete unos días después.

¿Alguien ha visto algo como esto antes?

    
pregunta AviD 05.04.2011 - 20:11
fuente

2 respuestas

4

Ah, tunelización ... SSH, DNS , ICMP , netcat, VPN personalizado ... lo que sea. A veces se le conoce como "dame wifi gratis" y en otros casos como "dame tu red".

No conozco esa carga útil específica (como compromiso), pero sí sé que puede poner las cosas sobre ICMP. Echa un vistazo a los paquetes circundantes. Esto me recuerda a la vieja broma "ATH +++". Puede ser una hazaña similar para algo que se está lanzando al azar. Me gustaría dar más por una respuesta, pero creo que necesitaría más para continuar.

    
respondido por el Jeff Ferland 05.04.2011 - 20:20
fuente
-1

es un error en las implementaciones recientes de dhclient, que permite ejecutar comandos de shell de forma remota.
No sé por qué ICMP se hace eco, si está relacionado de todos modos,

    
respondido por el kuhkatz 06.04.2011 - 16:13
fuente

Lea otras preguntas en las etiquetas