risspa
TRANSCRIPT
Технические средства преодоления внешнего
периметра защиты: stealth и covert channels
Андрей Соколов, консультант по информационной безопасности, ЗАО «ДиалогНаука»
Внешний периметр
Хакер Адриан Ламо
Лобовое проникновение внутрь периметра
Концепция внешнего периметра защиты сегодня
Концепция внешнего периметра защиты сегодня
• Корпоративные межсетевые экраны• IDS-системы• Корпоративные антивирусы, спам-фильтры• Корпоративный прокси-сервер• Сервер обновлений
Руткиты: технические средства преодоления внешнего периметра защиты
• Rootkit – средство несанкционированного удаленного управления информационной системой
• Stealth – средства обеспечения невидимости руткитов
• Covert channel – невидимый канал связи между руткитом и взломщиком
Stealth
• Модификация легитимного кода• Внедрение в легитимные процессы• Реализация сервисом• Манипуляции с реестром• Драйвер уровня ядра
Covert channel
• In information theory, a covert channel is a parasitic communications channel that draws bandwidth from another channel in order to transmit information without the authorization or knowledge of the latter channel's designer, owner, or operator. (http://en.wikipedia.org/wiki/Covert_channel)
• Covert channel – это техническое средство, устанавливающее надёжное и невидимое соединение со взломщиком в обход локальных и корпоративных систем безопасности
Группы руткитов:
• Массовые, низкобюджетные• Массовые, высокобюджетные• Узкоспециализированные
Массовые, низкобюджетные• Стоимость: от десятков до сотен $• Использование лобового вектора воздействия• Низкий коэффициент "пробиваемости" (до
25%)• Минимальный stealth, covert channel не
используется• Почти гарантированное попадание к
антивирусным вендорам в кратчайшие сроки• Используется для создания ботнетов,
поверхностного съёма приватных данных
Массовые, высокобюджетные
• Стоимость: несколько сотен-тысяч $• Использование всех векторов воздействия• Коэффициент "пробиваемости" от 25% и выше• Сильный stealth и минимальный covert
channel• Попадание к антивирусным вендорам зависит
от условий эксплуатации• Максимально широкий спектр применения
Узкоспециализированные
• Стоимость: 10 тысяч $• Использование социотехнического и
физического векторов воздействия• Почти 100% коэффициент "пробиваемости«• Максимальный stealth, максимальный covert
channels• Не попадает к антивирусным вендорам• Используется для длительного удалённого
управления
Пример инкапсуляции: tcp options
Максимальный размер поля опций TCP: 40 байтУказатель неиспользуемой опции: 1 байтУказатель длины поля опций: 1 байт (40)Payload: 38 байт на каждый пакет
Пример испольования служебного протокола: icmp echo request
• icmp.dll – управляющий сокет и весь трафик принадлежит вызывющему процессу
• трафик кодировать не нужно (все известные мне реализации icmp используют memcpy()).
• Этот метод очень просто реализовать. Пример реализации: icmptx.
Пример использования служебного протокола: dns/udp
• dnsapi.dll – DnsQueryA() – трафик обрабатывается контроллером сервисов
• Максимальный размер dns/udp-дейтаграммы – 512 байт.• Несмотря на rfc1035, можно допускать использование заглавных букв
в A-запросах, можно применять кодировку BASE64 (6 на 8)• A-запросы могут кодироваться следующим образом:
<payload1>.<payload2>…<payloadN>.zone.com, размер <payload> до 63 байт.
• A-ответы содержит оригинальный A-запрос и 4 байта с IPv4-адресом• HINFO-запросы могут кодироваться следующим образом:
<небольшой_payload>.zone.com• HINFO-ответы кодировать не нужно.• Этот метод непрост в реализации. Существуют полуработающие
программы nstx и iodine.
Паразитирование на легитимном ПО
• Легальные корпоративные аккаунты: HTTP GET, HTTP POST, HTTP CONNECT
• Легальное программное обеспечение: почтовый клиент