Covert Channel Communications: Methods and Implementations in Network Protocols

Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis

Authors

Date

2019-12-16

Department

Major/Subject

Security and Cloud Computing

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

60 + 9

Series

Abstract

This thesis covers covert channel communication in the TCP/IP protocol stack, when data is embedded in an unexpected location of a network packet. The historical and theoretical background of the covert channels is summarized, followed by description of purposes, e.g. data exfiltration and censorship avoidance, and techniques, e.g. abusing DNS domain names and resource records to transmit data. The goal of the thesis is to provide a way for people to evaluate their network security posture, with respect to covert channels. To reach the goal, different detection methods, e.g. passive network traffic analysis, and blocking methods, e.g. network packet normalization, are described. Furthermore, a catalogue of common covert channel implementations and security tools is provided. Finally, a novel test tool is developed for complex test suite orchestration. Since the area of this thesis is well researched, the thesis is mainly a literary study. The implementations and security tools are described based on the documentation and accompanying publications. We discovered that most of the covert channels presented in academic publications are purely theoretical, but the few implementations that exist are widely known and easy to use. Moreover, security tools are not focused on detecting this kind of communication. This creates a vulnerability that attackers can exploit in their malicious operations, such as data exfiltration. The results presented in this thesis show that our test tool is able test covert channels and their detection in an organized manner.

Tämä diplomityö käsittelee TCP/IP-protokollapinon piilotettuja kommunikaatiokanavia. Näissä kanavissa piilotetaan tietoa odottamattomiin kohtiin verkkopaketteja. Työssä avataan piilotettujen kommunikaatiokanavien historiallista ja teoreettista taustaa, minkä jälkeen kuvataan kanavien erilaiset tarkoitukset, esim. tiedon salakuljetus ulos verkosta ja verkkosensuurin kiertäminen, sekä tekniikat, kuten tiedonsiirto DNS verkkonimien ja resurssitietueiden kautta. Diplomityön tavoite on antaa ihmisille keinoja verkon tietoturvallisuuden arviointiin. Tavoitteen saavuttamiseksi työ kuvaa havaitsemismenetelmiä (esim. passiivinen verkkoliikenteen analyysi) ja estämiskeinoja (esim. verkkopakettien normalisointi). Lisäksi tunnettujen piilotettujen kommunikaatiokanavien implementaatioita ja tietoturvatyökaluja käydään läpi. Lopuksi työssä kehitetään testaustyökalu, jolla voidaan orkestroida ja ajaa monimutkaisia testisarjoja. Aihe on erittäin laajasti tutkittu, joten suurin osa työstä on kirjallisuustutkielmaa. Implementaatiot ja tietoturvatyökalut kuvataan hyödyntäen näiden mukana tulevaa dokumentaatiota ja tieteellisiä julkaisuja. Kirjallisuustutkielman perusteella havaittiin, että suurin osa tutkimuksessa esitetyistä piilotetuista kommunikaatiokanavista on edelleen täysin teoreettisia, mutta toisaalta toteutetut kanavat ovat erittäin helppokäyttöisiä. Lisäksi tietoturvatuotteita ei ole tarkoitettu tämän kaltaisen kommunikaation havaitsemiseen. Hyökkääjillä onkin mahdollisuus hyödyntää tästä johtuvaa heikkoutta järjestelmissä esimerkiksi tiedon varastamiseen. Työn tulokset näyttävät, että kehitetty testityökalu mahdollistaa piilotettujen kommunikaatiokanavien järjestelmällisen kokeilun.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Lehtomäki, Lari

Keywords

covert channel communications, covert channel protocols, network protocol, intrusion detection system

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-201912226686

Collections

[dipl] Perustieteiden korkeakoulu / SCI