Eine aktuelle Veröffentlichung eines chinesischen Sicherheitsforschers beschreibt eine neuartige Technik zur Einrichtung einer verdeckten Backdoor mithilfe von TCP-Sequenznummern. Die Methode funktioniert, indem ein Trigger in die anfängliche Sequenznummer (ISN) eines TCP-Handshakes eingebettet wird. Wenn ein Client ein SYN-Paket mit einem bestimmten Sequenznummernmuster sendet, aktiviert sich das serverseitige Implantat und stellt eine Reverse-Verbindung her. Dieser Ansatz ist besonders heimlich, da er sich in den normalen TCP-Verkehr einfügt und keine zusätzlichen Ports oder Protokolle erfordert. Die Technik demonstriert ein tiefes Verständnis der TCP-Interna und bietet einen neuen Vektor für Red-Team-Operationen und Malware-Autoren. Sicherheitsteams sollten sich dieser Technik bewusst sein, da sie herkömmliche Netzwerküberwachungstools umgehen kann, die keine Sequenznummernmuster untersuchen.
Ein chinesischer Sicherheitsforscher hat eine Technik veröffentlicht, die TCP-Sequenznummern als Auslöser für eine verdeckte Backdoor verwendet. Diese Methode verbirgt C2-Verkehr in normalen TCP-Handshakes und erschwert die Erkennung. Es handelt sich um einen neuartigen Ansatz für netzwerkbasierte Persistenz.