Uso effettivo del canale nascosto nel malware

1

Ho visto diverse fonti accademiche che menzionano canali segreti nei computer, come un processo che invia dati a un altro processo / thread sulla stessa macchina in un modo che tenta di evitare il rilevamento. I metodi dei canali segreti includono, per esempio, i tempi, la contesa delle risorse ... Secondo i criteri di valutazione della sicurezza del computer affidabile, canali nascosti sono

ways of transferring information from a higher classification compartment to a lower classification.

Esiste un esempio di un malware reale con questo comportamento?

Mi interessa di più i canali nascosti all'interno di un singolo computer rispetto ai canali di rete.

    
posta Jacques 22.07.2015 - 20:27
fonte

2 risposte

1

Dipende da cosa vuoi ottenere: nascondere le informazioni che vengono inviate tra i processi o il fatto che stanno comunicando. Se il tuo obiettivo è solo quello di ottenere riservatezza puoi cifrare le informazioni che vengono inviate tra due o più processi.

Prima di questo hai bisogno di alcune informazioni di base su IPC (su entrambi windows e * NIX ), un numero di crittografi implementati primitive (es. openssl ) e un protocollo che richiede effettivamente due o più processi per comunicare.

Un esempio potrebbe essere stuxnet .

    
risposta data 22.07.2015 - 21:29
fonte
1

Alcuni (la maggior parte) malware ha bisogno di un modo per contattare il suo master (il "C & C" come "Comando e Controllo" - un'espressione militare). Ciò può essere quello di estrarre alcuni dati riservati che sono stati saccheggiati dal sistema interessato, o, eventualmente, di ottenere nuove informazioni dalla C & C, ad es. più comandi da eseguire sul bersaglio. La maggior parte delle volte il malware desidera farlo in modo discreto per non avvertire la vittima della presenza di malware. Questo è tipico di un keylogger, che acquisisce le password degli utenti e normalmente desidera continuare a farlo, il che implica che NON consente all'utente di prendere conoscenza della presenza del keylogger.

I canali nascosti sono ciò che il malware utilizza per evitare il rilevamento da sistemi progettati per rilevare il traffico anomalo, spesso chiamati Sistemi di rilevamento delle intrusioni . Esistono ID perché il malware ha bisogno di ottenere dati in modo discreto.

Un canale nascosto essendo per definizione una questione di comunicazione tra due entità, non sono sicuro di cosa intendi per "canali segreti all'interno di un singolo computer".

    
risposta data 22.07.2015 - 21:48
fonte

Leggi altre domande sui tag