Hoy leía sobre el funcionamiento del malware Zyklon (https://thehackernews.com/2018/01/microsoft-office-malware.html) y me llamó la atención que el malware se descarga el payload final conectándose a una dirección IP “dotless” (por ejemplo http://3627732942).



Las direcciones dotless o direcciones decimales son los valores decimales de las direcciones ipv4 representadas con notación de octetos, pero sin separar en octetos. Suena confuso, pero es que me explico fatal, así que siguiendo las palabras de Confucio: “Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí”, vamos a hacer un ejemplo sencillo para que quede claro convirtiendo la IP más famosa del mundo: 127.0.0.1.

Teniendo en cuenta que son octetos debemos tener en cuenta 8 bits por cada número, así que siendo los valores 127=1111111, 0=0 y 1=1 rellenamos con ceros el resto del octeto para completarlo, quedando así: 01111111.00000000.00000000.00000001

Ya no nos queda casi nada. Eliminamos los puntos, juntamos todo en una cadena larga y lo convertimos a decimal.

01111111000000000000000000000001 = 2130706433

Así que, si lo hemos hecho bien, para acceder a 127.0.0.1 tendríamos que llamar a http://2130706433. Pongámoslo a prueba.


Como se ve, al llamar a la dirección dotless se resolvió como 127.0.0.1, así que nuestra conversión es correcta.

¡Si tienes alguna duda deja tu comentario!

Contribución gracias a 'elvecinodeabajo'