隐蔽通道是一种回避或进攻手段,用隐匿、未授权或非法方式来传输信息。隐蔽通道可被用于从机构提取信息或向机构植入信息。互联网隐蔽通道就像是一个带有秘密夹层的数字公文包,间谍会使用它来瞒过保安,将敏感文件放入安全设施,或从安全设施取出敏感文件。攻击者会使用互联网隐蔽通道避开监控来传送敏感文件 — 在这种情况下,采取的方法是绕开网络安全手段而不是绕开保安。正如间谍在进入安全设施时可以使用同样的秘密夹层来隐藏武器通过保安一样,攻击者也可以使用互联网隐蔽通道来隐藏网络武器,例如,将从外部服务器下载的恶意软件植入机构专用网络的计算机宿主中。
互联网隐蔽通道的基础知识
互联网隐蔽通道可以通过非常规的方式使用传统互联网协议。通道端点 — 一台被感染的电脑和攻击者的命令与控制电脑 — 必须使用可识别并处理这些非常规技术的回避或进攻软件。用户或恶意软件自行安装这一软件,攻击者也可以使用远程控制工具 (RAT) 安装这一软件。互联网隐蔽通道不同于加密通道。它们都能够以纯文本传输信息,但都是不可见的。虽然它们并不需要加密方式或密钥,但某些隐蔽通道会使用加密或其他手段将数据混淆。
我们来看一下两种技术手段。第一种技术手段包括秘密传输数据,一次传输一个字符,位于互联网协议 (IP) 标头的标识字段 (ID)。这一手段常见的实施方法是让每个字符的 ASCII 值乘以 256,为这一标识字段创建一个 16 位的值。为传输缩略的“ICANN”,发送者会发送 5 个带有如下编码的 ID 字段的 IP 数据包:
| 数据包 | ASCII 十进制值 | IP ID 字段(乘以 256) |
| 1 | 71 ("I") | 18176 |
| 2 | 67 ("C") | 17152 |
| 3 | 65 ("A") | 16640 |
| 4 | 78 ("N") | 19968 |
| 5 | 78 ("N") | 19968 |
然后接收端电脑将此值除以 256 以解码 IP ID 字段。这些值并不可疑,并且由于 IP 默许重复的数据包,这一通信很可能避开检测。这种方法速度很慢,但非常隐秘。
第二种技术手段包括使用协议负载(协议在两台电脑间传输的信息)创建一个隐秘通道。这一技术手段将数据附加于互联网控制报文协议 (ICMP) 的 ECHO 请求和响应信息之中。ECHO 通常被用于一种名为 ping 的服务。因为网络管理员通常使用 ping 来测试远程主机是否已连接,ICMP ECHO 通信很可能绕开诸如防火墙之类的安全手段。
| MAC 头 (例:以太网) |
互联网协议头 (协议控制信息) |
ICMP 头 (ECHO 请求/回复) |
ICMP 负载 (秘密传输的数据) |
如需详细了解这些技术手段,请查看隐蔽通道的 SANS IDFAQ 和使用 ICMP 建立的隐蔽通道 [PDF, 740 KB]。
接下来:DNS 隐蔽通道
域名系统 (DNS) 协议有几个特征很容易受到隐蔽通道的利用。防火墙允许 DNS 通信自由进出。DNS 被用作隐蔽通道的风险往往容易被忽略或低估,所以机构或互联网服务提供商不会经常检查 DNS 通信是否存在攻击迹象。在登录或付费墙功能完成前,DNS 通信有时会通过公共网络解析域名,所以对于绕过这些访问控制而言 DNS 隐蔽通道就会变得非常有效。
在下一篇文章中,我们将关注 DNS 隐蔽通道是如何被用于泄露数据,绕过收费墙或下载恶意软件的。