kali ini mau sharing tentang Covert Channel atau Jalur Rahasia, soalnya lagi analisa kejadian trojan yang di suspect menggunakan metode Covert Channel.
event dengan suspect TROJAN yang menggunakan metode Covert Channel ialah :
—————————————–
Covert Channel (Jalur Rahasia)
—————————————–
a. Apa Itu Covert Channel
Covert Channel ialah suatu mekanisme yang sangat efektif, yang kebanyakan digunakan para developer Trojan dan Malware / Security Developers untuk mengirim dan menerima paket data tanpa harus ketahuan oleh IDS dan Firewall, yaitu dengan mekanisme manipulasi cara membalas SYN/ACK TCP/IP payload pada sisi client dan pada sisi server.
b. The Code
pada dasarnya para pengembang trojan dan malware menggunakan metode Covert Channel dengan melakukan modifikasi pada tools “covert_tcp” yang dibuat oleh Craig Rowland, tools ini mengandung 3 unsur penting yaitu :
The IP packet identification field.
The TCP initial sequence number field.
The TCP acknowledge sequence number field “Bounce”.
c. Act As
Covert_TCP dapat beraksi sebagai server dan client yang dimana keduanya bisa berinteraksi dengan manipulasi header tertentu, yang tentu saja manipulasi terhadap header TCP/IP ini tergantung modifikasi developer terhadap library / tools covert_tcp.
————————————————-
Observasi Terhadap Covert Channel
————————————————-
pada contoh berikut terdapat 3 PC sebagai ujicoba yaitu :
a. CLIENT (Covert_TCP ter compile sebagai client) – 192.168.1.111
b. SERVER (Covert_TCP ter compile sebaga server listener / the gatherer) – 192.168.1.60
c. BOUNCER (terinstall tcp_dump sebagai tools analisis, dan snort sebagai IDS)
1. CLIENT akan melakukan pengiriman data ASCII Character “Covert” dan berikut adalah payload pertama dari karakter “C”
1 19:50:12.957787 eth0 < 192.168.1.20.http > 192.168.1.60.http: S 81531:81531(0) ack 1124073473 win 8576 (DF) (ttl 128, id 23554)
2 4500 002c 5c02 4000 8006 1b29 c0a8 0114
3 c0a8 013c 0050 0050 0001 3e7b 4300 0001
4 6012 2180 70d8 0000 0204 05b4 0000
5 19:50:12.957787 eth0 > 192.168.1.60.http > 192.168.1.20.http: R 1124073473:1124073473(0) win 0 (DF) (ttl 255, id 0)
6 4500 0028 0000 4000 ff06 f82e c0a8 013c
7 c0a8 0114 0050 0050 4300 0001 0000 0000
8 5004 0000 e89e 0000
pada pengiriman paket data berisi ASCII 1 char “C” diatas, tcpdump melakukan spoofing address sehingga yang terlihat ialah ip dari PC BOUNCER, dan SERVER Covert_TCP membalas kepada PC BOUNCER.
penjelasan pertama ialah, pada packet ACK pertama yaitu packet SEND, field ACK mengandung paket translate yaitu 43H (1124073473/16777216 = 67 = 43h), yang mana jika diartikan ialah CHAR ASCII “C” (43H).
jika dilihat bahwa SERVER Covert_TCP membalas paket data yang di spoof SND (SEND / S), dengan mode RST (RESET / R). hal ini berbanding terbalik dengan NORMAL nya cara TCP/IP program melakukan metode standart yaitu “Three Way Handsake”, dengan menginisiasi listen() and accept(), pada program jaringan normal, program akan melakukan prosedur call() untuk memanggil inisiasi “Three Way Handsake”.
2. Tidak ada nya three way handsake pada Covert_TCP
pada kasus ini, server HANYA MEMBALAS dan SELALU MEMBALAS mode (R / RST) kepada client yang mengirimkan paket data dengan menggunakan library Covert_TCP, diagram simple yang saya buat seperti ini
CLIENT (send packet data) [S] -> SERVER (menerima paket data, dan menyimpannya) -> SERVER (mengirim sinyal R / RST, kepada client Covert_TCP) [R].
berikut ialah hasil tcpdump dari pengiriman char “Covert” dari client ke server.
01 15:46:46.614323 eth0 < x.x.x.x.14879 > 192.168.1.60.http: S 117964800:117964800(0) win 512 (ttl 55, id 30208)
02 4500 0028 7600 0000 3706 318f xxxx xxxx
03 c0a8 013c 3a1f 0050 0708 0000 0000 0000
04 5002 0200 902a 0000 0000 0000 0000
05 15:46:46.614323 eth0 > 192.168.1.60.http > x.x.x.x.14879: R 0:0(0) ack 117964801 win 0 (DF) (ttl 255, id 0)
06 4500 0028 0000 4000 ff06 9f8e c0a8 013c
07 xxxx xxxx 0050 3a1f 0000 0000 0708 0001
08 5014 0000 9217 0000
09 15:46:47.624323 eth0 < x.x.x.x.31780 > 192.168.1.60.http: S 3741384704:3741384704(0) win 512 (ttl 55, id 25856)
10 4500 0028 6500 0000 3706 428f xxxx xxxx
11 c0a8 013c 7c24 0050 df01 0000 0000 0000
12 5002 0200 762b 0000 0000 0000 0000
13 15:46:47.624323 eth0 < 192.168.1.60.http > x.x.x.x.31780: R 0:0(0) ack 3741384705 win 0 (DF) (ttl 255, id 0)
14 4500 0028 0000 4000 ff06 9f8e c0a8 013c
15 xxxx xxxx 0050 7c24 0000 0000 df01 0001
16 5014 0000 7818 0000
17 15:46:48.634323 eth0 < x.x.x.x.17925 > 192.168.1.60.http: S 3238723584:3238723584(0) win 512 (ttl 55, id 29184)
18 4500 0028 7200 0000 3706 358f xxxx xxxx
19 c0a8 013c 4605 0050 c10b 0000 0000 0000
20 5002 0200 ca40 0000 0000 0000 0000
21 15:46:48.634323 eth0 < 192.168.1.60.http > x.x.x.x.17925: R 0:0(0) ack 3238723585 win 0 (DF) (ttl 255, id 0)
22 4500 0028 0000 4000 ff06 9f8e c0a8 013c
23 xxxx xxxx 0050 4605 0000 0000 c10b 0001
24 5014 0000 cc2d 0000
25 15:46:49.644323 eth0 < x.x.x.x.51999 > 192.168.1.60.http: S 2569076736:2569076736(0) win 512 (ttl 55, id 29696)
26 4500 0028 7400 0000 3706 338f xxxx xxxx
27 c0a8 013c cb1f 0050 9921 0000 0000 0000
28 5002 0200 6d10 0000 0000 0000 0000
29 15:46:49.644323 eth0 > 192.168.1.60.http > x.x.x.x.51999: R 0:0(0) ack 2569076737 win 0 (DF) (ttl 255, id 0)
30 4500 0028 0000 4000 ff06 9f8e c0a8 013c
31 xxxx xxxx 0050 cb1f 0000 0000 9921 0001
32 5014 0000 6efd 0000
banyak dari hacker / cracker / trojan developer sekarang mempunyai skill yang mumpuni untuk me modifikasi library / tools Covert_TCP sedemikian rupa sehingga IDS normal menggangap aktifitas tersebut tidak mencurigakan.
ref :
[You must be registered and logged in to see this link.]Good Luck!
source :
[You must be registered and logged in to see this link.]
Subyek: Covert Channel / Jalur Rahasia 
Sat Jan 19, 2013 4:45 pm
