Malware / vulnerabilidad que usa o causa encabezados TCP o IP mal formados

4

Tengo curiosidad por saber si hay ejemplos de encabezados IP o TCP con formato incorrecto (por ejemplo, sumas de comprobación que no coinciden, bits reservados que no son cero o números de mala longitud de encabezado) utilizados por el malware o que son utilizado en hazañas.

Ejemplos que (si fueran verdaderos) valdría la pena mencionar:

  • La pila TCP del proveedor X no maneja una longitud de encabezado de < 5 correctamente, y se bloquea cuando lo encuentra.

  • Una botnet que utiliza los bits reservados del encabezado TCP que envía para enviar mensajes.

pregunta Andrew Spott 14.07.2015 - 21:44
fuente

2 respuestas

1

Ha habido vulnerabilidades en hosts con implementaciones de TCP imperfectas donde las solicitudes mal formadas podrían causar un bloqueo. No sé si he visto algo infectar una máquina y luego elegir romper TCP al jugar con los encabezados. Este es un ejemplo de un error de bloqueo causado por un encabezado incorrecto:

enlace

El uso de los bits reservados (6 bits en IPv4) en el encabezado sería muy ineficaz y no es algo que haya visto en la naturaleza . Es plausible, pero en general no esperaría verlo ya que es algo muy inusual y sería fácil de identificar y filtrar. Miré a mi alrededor en línea y no encontré nada sólido que identifique este comportamiento en uso hoy.

Hay un documento de SANS sobre el uso de partes del paquete TCP para el paso de datos encubiertos que cubre bastante bien este tema: enlace

    
respondido por el Nathan V 26.08.2015 - 02:34
fuente
0

Discusión general sobre IPv6 utilizado por malware (2014)
enlace

Incluye CVE-2014-2309 y CVE-2014-0254 que usan paquetes mal formados para causar DoS.

VoodooNet (2006)
enlace

VoodooNet utilizó ICMPv6 para enviar datos.

Scapy se utiliza para crear un canal oculto mediante IPv6:
enlace

Opción de destino El encabezado de extensión de IPv6 se usa para pasar información secreta.

Investigación sobre 22 canales ocultos diferentes utilizando IPv6 (2006) enlace

    
respondido por el schroeder 26.08.2015 - 03:04
fuente

Lea otras preguntas en las etiquetas