Скрытые каналы — это один из приемов сокрытия действий или осуществления атак, который используется для тайной, несанкционированной или незаконной передачи информации. С помощью скрытых каналов может быть организована утечка информации или, наоборот, внедрение информации в организацию. Скрытый канал в Интернете можно сравнить с потайным отделом в портфеле, в котором злоумышленник может попытаться спрятать секретные документы, чтобы пронести их через проходную режимного объекта. В Интернете скрытые каналы могут использоваться злоумышленниками для того, чтобы передавать секретные материалы, оставаясь при этом незамеченными — в данном случае в роли проходной режимного объекта выступают механизмы обеспечения безопасности сети. Подобно тому, как шпион может спрятать в том же потайном отделе оружие, чтобы скрыть его от службы безопасности и проникнуть вместе с ним на объект, в Интернете злоумышленники могут использовать скрытые каналы для тайной передачи кибероружия, например, для загрузки на узел в частной сети организации вредоносного ПО с внешнего сервера.
Основные сведения о скрытых каналах в Интернете
Скрытые каналы в Интернете могут основываться на нетрадиционном использовании привычных интернет-протоколов. Конечные точки отдельного канала — зараженный компьютер и командный центр злоумышленников — должны использовать для атаки или сокрытия действий специальное ПО, способное распознавать и обрабатывать такие нетрадиционные приемы. Такое ПО может устанавливаться самим пользователем или вредоносным ПО, или же злоумышленниками с помощью средств удаленного администрирования (RAT). Скрытые интернет-каналы отличаются от зашифрованных туннелей. Информация по ним может передаваться в незашифрованном виде (зачастую так и происходит), однако сами эти каналы скрыты от посторонних. Применять шифрование или криптографические ключи в таком случает нет необходимости, однако иногда в скрытых каналах все же используются различные способы шифрования или обфускации данных.
Давайте рассмотрим два примера. Первая методика заключается в скрытой передаче информации по одному символу за раз в поле идентификатора (ID) заголовка пакета интернет-протокола (IP). В распространенных вариантах реализации такой методики ASCII-коды символов умножаются на 256 для создания 16-разрядных значений, которые подставляются в поле идентификатора. Для передачи аббревиатуры ICANN понадобилось бы передать 5 IP-пакетов со следующими значениями поля идентификатора:
| Пакет | Десятичное значение ASCII | Идентификатор IP-пакета (x256) |
| 1 | 71 ("I") | 18176 |
| 2 | 67 ("C") | 17152 |
| 3 | 65 ("A") | 16640 |
| 4 | 78 ("N") | 19968 |
| 5 | 78 ("N") | 19968 |
Принимающий компьютер расшифровывает значение поля идентификатора IP-пакета, разделив полученное значение на 256. Передача таких значений не вызывает никаких подозрений, а поскольку IP-протокол допускает передачу дубликатов пакетов, вероятность того, что такой трафик будет обнаружен, невелика. Медленная скорость компенсируется скрытностью передачи.
Вторая методика создания скрытого канала подразумевает использование полезной нагрузки протокола, то есть технической информации, передаваемой в рамках выбранного протокола. В данном случае данные добавляются к запросам ECHO и ответам на них — это служебные сообщения, которые используются в протоколе Internet Control Message Protocol, или ICMP. Сообщения ECHO используются в распространенной службе ping. Сетевые администраторы часто используют службу ping для проверки того, доступен ли тот или иной удаленный узел, поэтому трафик пакетов ECHO протокола ICMP обычно пропускается средствами защиты сетей, такими как брандмауэры.
| ЗАГОЛОВОК MAC (напр., Ethernet) |
Заголовок интернет-протокола (управляющая информация протокола) |
Заголовок ICMP (запрос-ответ ECHO) |
Полезная нагрузка ICMP (скрытно передаваемые данные) |
Если вам интересно узнать больше об этих методиках, ознакомьтесь со следующими статьями: SANS IDFAQ on Covert Channels (Вопросы и ответы о скрытых каналах) и Covert Channels over ICMP (Скрытые каналы по протоколу ICMP, PDF, 740 КБ].
Далее. Скрытые каналы DNS
Протокол системы доменных имен (DNS) обладает рядом характеристик, которые делают удобным использование скрытых каналов. Трафик DNS пропускается брандмауэрами в обоих направлениях. Опасность использования DNS для создания скрытых каналов зачастую упускается из виду или недооценивается, поэтому организации или интернет-провайдеры не всегда проверяют трафик DNS на наличие признаков атак. Иногда трафик DNS пропускается наружу, в большой Интернет, для разрешения имен еще до выполнения функций авторизации или проверки подлинности пользователей, что позволяет использовать скрытые каналы DNS для обхода таких средств контроля доступа.
В нашей следующей записи мы расскажем о том, как скрытые каналы DNS могут использоваться для извлечения данных, обхода средств контроля доступа или загрузки вредоносного ПО.