Covert Channel Communications: Methods and Implementations in Network Protocols

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Date
2019-12-16
Department
Major/Subject
Security and Cloud Computing
Mcode
SCI3084
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
60 + 9
Series
Abstract
This thesis covers covert channel communication in the TCP/IP protocol stack, when data is embedded in an unexpected location of a network packet. The historical and theoretical background of the covert channels is summarized, followed by description of purposes, e.g. data exfiltration and censorship avoidance, and techniques, e.g. abusing DNS domain names and resource records to transmit data. The goal of the thesis is to provide a way for people to evaluate their network security posture, with respect to covert channels. To reach the goal, different detection methods, e.g. passive network traffic analysis, and blocking methods, e.g. network packet normalization, are described. Furthermore, a catalogue of common covert channel implementations and security tools is provided. Finally, a novel test tool is developed for complex test suite orchestration. Since the area of this thesis is well researched, the thesis is mainly a literary study. The implementations and security tools are described based on the documentation and accompanying publications. We discovered that most of the covert channels presented in academic publications are purely theoretical, but the few implementations that exist are widely known and easy to use. Moreover, security tools are not focused on detecting this kind of communication. This creates a vulnerability that attackers can exploit in their malicious operations, such as data exfiltration. The results presented in this thesis show that our test tool is able test covert channels and their detection in an organized manner.

Tämä diplomityö käsittelee TCP/IP-protokollapinon piilotettuja kommunikaatiokanavia. Näissä kanavissa piilotetaan tietoa odottamattomiin kohtiin verkkopaketteja. Työssä avataan piilotettujen kommunikaatiokanavien historiallista ja teoreettista taustaa, minkä jälkeen kuvataan kanavien erilaiset tarkoitukset, esim. tiedon salakuljetus ulos verkosta ja verkkosensuurin kiertäminen, sekä tekniikat, kuten tiedonsiirto DNS verkkonimien ja resurssitietueiden kautta. Diplomityön tavoite on antaa ihmisille keinoja verkon tietoturvallisuuden arviointiin. Tavoitteen saavuttamiseksi työ kuvaa havaitsemismenetelmiä (esim. passiivinen verkkoliikenteen analyysi) ja estämiskeinoja (esim. verkkopakettien normalisointi). Lisäksi tunnettujen piilotettujen kommunikaatiokanavien implementaatioita ja tietoturvatyökaluja käydään läpi. Lopuksi työssä kehitetään testaustyökalu, jolla voidaan orkestroida ja ajaa monimutkaisia testisarjoja. Aihe on erittäin laajasti tutkittu, joten suurin osa työstä on kirjallisuustutkielmaa. Implementaatiot ja tietoturvatyökalut kuvataan hyödyntäen näiden mukana tulevaa dokumentaatiota ja tieteellisiä julkaisuja. Kirjallisuustutkielman perusteella havaittiin, että suurin osa tutkimuksessa esitetyistä piilotetuista kommunikaatiokanavista on edelleen täysin teoreettisia, mutta toisaalta toteutetut kanavat ovat erittäin helppokäyttöisiä. Lisäksi tietoturvatuotteita ei ole tarkoitettu tämän kaltaisen kommunikaation havaitsemiseen. Hyökkääjillä onkin mahdollisuus hyödyntää tästä johtuvaa heikkoutta järjestelmissä esimerkiksi tiedon varastamiseen. Työn tulokset näyttävät, että kehitetty testityökalu mahdollistaa piilotettujen kommunikaatiokanavien järjestelmällisen kokeilun.
Description
Supervisor
Aura, Tuomas
Thesis advisor
Lehtomäki, Lari
Keywords
covert channel communications, covert channel protocols, network protocol, intrusion detection system
Other note
Citation