有没有其他人看到嵌入在 ICMP 回显请求中的命令?

信息安全 网络 身份证 恶意软件
2021-08-15 03:50:58

我的 IPS 最近检测到带有异常有效负载的类型 8 ICMP 数据包(回显请求)。

echo request 命令是一个命令的片段,看起来像是添加路由的一部分。这是 ICMP 数据有效负载的 PCAP。

.&.1Y..! .b....E.
..x..z. ...)....
....(4.. ......e
-p ADD 1 72.16.1.
21 MASK 255.255.
255.255 10.18.12
.33..... ..

IPS 将其标记为 Loki 隧道流量 - 但仅限于单个数据包。我以为这可能是从记忆中随机抓取的,但几天后我看到了完全相同的数据包。

有没有人见过这样的事情?

2个回答

啊,隧道……SSH、DNSICMP、netcat、自定义VPN……你说的。有时称为“给我免费 wifi”,在其他情况下称为“给我你的网络”。

我不知道具体的有效载荷(作为一种妥协),但我知道你可以把东西放在 ICMP 上。看看周围的数据包。这让我想起了旧的“ATH+++”噱头。对于随机被扔掉的东西,这可能是一个类似的利用。我想给出更多答案,但我认为我需要更多继续。

这是最近 dhclient 实现中的一个错误,它允许远程运行 shell 命令。
不知道为什么它 ICMP 回显,如果它仍然相关,

其它你可能感兴趣的问题
上一篇聘用受信任人员的标准——美国政府还是加拿大政府? 下一篇用于阻止给定端口上不需要的协议的防火墙规则