Une publication récente d'un chercheur en sécurité chinois détaille une nouvelle technique pour établir une backdoor cachée en utilisant les numéros de séquence TCP. La méthode fonctionne en intégrant un déclencheur dans le numéro de séquence initial (ISN) d'une poignée de main TCP. Lorsqu'un client envoie un paquet SYN avec un motif de numéro de séquence spécifique, l'implant côté serveur s'active et établit une connexion inverse. Cette approche est particulièrement furtive car elle se fond dans le trafic TCP normal et ne nécessite aucun port ou protocole supplémentaire. La technique démontre une compréhension approfondie des mécanismes internes de TCP et offre un nouveau vecteur pour les opérations d'équipe rouge et les auteurs de logiciels malveillants. Les équipes de sécurité doivent être conscientes de cette technique car elle peut contourner les outils de surveillance réseau traditionnels qui n'inspectent pas les modèles de numéros de séquence.
Un chercheur en sécurité chinois a publié une technique utilisant les numéros de séquence TCP comme déclencheur pour une backdoor cachée. Cette méthode dissimule le trafic C2 dans des poignées de main TCP normales, rendant la détection difficile. Il s'agit d'une nouvelle approche de la persistance réseau.