Технические средства преодоления внешнего

периметра защиты: stealth и covert channels

Андрей Соколов, консультант по информационной безопасности, ЗАО «ДиалогНаука»

sav@dials.ru

Внешний периметр

Хакер Адриан Ламо

Лобовое проникновение внутрь периметра

Концепция внешнего периметра защиты сегодня

Концепция внешнего периметра защиты сегодня

• Корпоративные межсетевые экраны• IDS-системы• Корпоративные антивирусы, спам-фильтры• Корпоративный прокси-сервер• Сервер обновлений

Руткиты: технические средства преодоления внешнего периметра защиты

• Rootkit – средство несанкционированного удаленного управления информационной системой

• Stealth – средства обеспечения невидимости руткитов

• Covert channel – невидимый канал связи между руткитом и взломщиком

Stealth

• Модификация легитимного кода• Внедрение в легитимные процессы• Реализация сервисом• Манипуляции с реестром• Драйвер уровня ядра

Covert channel

• In information theory, a covert channel is a parasitic communications channel that draws bandwidth from another channel in order to transmit information without the authorization or knowledge of the latter channel's designer, owner, or operator. (http://en.wikipedia.org/wiki/Covert_channel)

• Covert channel – это техническое средство, устанавливающее надёжное и невидимое соединение со взломщиком в обход локальных и корпоративных систем безопасности

Группы руткитов:

• Массовые, низкобюджетные• Массовые, высокобюджетные• Узкоспециализированные

Массовые, низкобюджетные• Стоимость: от десятков до сотен $• Использование лобового вектора воздействия• Низкий коэффициент "пробиваемости" (до

25%)• Минимальный stealth, covert channel не

используется• Почти гарантированное попадание к

антивирусным вендорам в кратчайшие сроки• Используется для создания ботнетов,

поверхностного съёма приватных данных

Массовые, высокобюджетные

• Стоимость: несколько сотен-тысяч $• Использование всех векторов воздействия• Коэффициент "пробиваемости" от 25% и выше• Сильный stealth и минимальный covert

channel• Попадание к антивирусным вендорам зависит

от условий эксплуатации• Максимально широкий спектр применения

Узкоспециализированные

• Стоимость: 10 тысяч $• Использование социотехнического и

физического векторов воздействия• Почти 100% коэффициент "пробиваемости«• Максимальный stealth, максимальный covert

channels• Не попадает к антивирусным вендорам• Используется для длительного удалённого

управления

Пример инкапсуляции: tcp options

Максимальный размер поля опций TCP: 40 байтУказатель неиспользуемой опции: 1 байтУказатель длины поля опций: 1 байт (40)Payload: 38 байт на каждый пакет

Пример испольования служебного протокола: icmp echo request

• icmp.dll – управляющий сокет и весь трафик принадлежит вызывющему процессу

• трафик кодировать не нужно (все известные мне реализации icmp используют memcpy()).

• Этот метод очень просто реализовать. Пример реализации: icmptx.

Пример использования служебного протокола: dns/udp

• dnsapi.dll – DnsQueryA() – трафик обрабатывается контроллером сервисов

• Максимальный размер dns/udp-дейтаграммы – 512 байт.• Несмотря на rfc1035, можно допускать использование заглавных букв

в A-запросах, можно применять кодировку BASE64 (6 на 8)• A-запросы могут кодироваться следующим образом:

<payload1>.<payload2>…<payloadN>.zone.com, размер <payload> до 63 байт.

• A-ответы содержит оригинальный A-запрос и 4 байта с IPv4-адресом• HINFO-запросы могут кодироваться следующим образом:

<небольшой_payload>.zone.com• HINFO-ответы кодировать не нужно.• Этот метод непрост в реализации. Существуют полуработающие

программы nstx и iodine.

Паразитирование на легитимном ПО

• Легальные корпоративные аккаунты: HTTP GET, HTTP POST, HTTP CONNECT

• Легальное программное обеспечение: почтовый клиент