Hidden botnet communication over covert channels in the transport layer security protocol

Abstract

Covert channels ermöglichen eine unbemerkte Kommunikation über Kanäle, die nicht für den Informationsaustausch vorgesehen sind. Angesichts der zunehmenden Nutzung von Sicherheitsprotokollen wie Transport Layer Security (TLS) zur sicheren Datenübertragung erscheint es aussichtsreich, einen covert channel in diesem Protokoll zu implementieren, um eine Kommunikation zu verstecken. Dieser covert channel könnte auch für schädliche Zwecke, wie etwa zur Steuerung eines Botnets, genutzt werden. Viele Sicherheitsüberwachungssysteme berücksichtigen diese Möglichkeit bisher nicht ausreichend, was zu einer potenziellen Schwachstelle führt. In dieser Arbeit analysieren wir zunächst das statistische und zeitliche Verhalten von legitimen TLS Netzwerkverkehr und legen dabei besonderen Fokus auf die TLS Record Length, welche der Länge der verschlüsselten Nachricht entspricht. Auf dieser Basis entwickeln wir drei verschiedene covert channels innerhalb der TLS Record Length mit unterschiedlichen Kodierungsmethoden und implementieren diese als Kommunikationsmedium für das bekannte Botnet Mirai. In mehreren Experimenten generieren wir Netzwerkverkehr in einer virtuellen Umgebung, analysieren diesen und vergleichen ihn mit legitimen Netzwerkverkehr hinsichtlich zeitlicher Merkmale und statistischer Verteilungen der TLS-Charakteristika. In einem nächsten Schritt tarnen wir die implementierten TLS covert channels so, dass sie wie legitimer Netzwerkverkehr erscheinen. Um die Gefährlichkeit des implementierten covert channels zu demonstrieren, haben wir einen Data-leakage Angriff für unser Botnet entwickelt. Hierbei werden verschiedene, am Bot gespeicherte Daten über den covert channel transferiert und als legitimer Netzwerkverkehr getarnt. Diese Arbeit bietet eine umfassende Analyse der Möglichkeiten für TLS Record Length covert channels basierend auf der Untersuchung von legitimen Netzwerkverkehr. Darüber hinaus wird gezeigt, wie die Kommunikation eines Botnets als legitimer Netzwerkverkehr getarnt werden kann und wie Daten von infizierten Rechnern unauffällig abgegriffen werden können, ohne dass für die Betroffenen erkennbar ist, welche Daten übertragen wurden. Neben diesen Erkenntnissen ergeben sich weitere Ansätze für zukünftige Forschungsarbeiten zur Erkennung und Unterbindung von TLS Record Length covert channels.

Covert channels enable undetected communication via channels that are not intended for the exchange of information. Considering the increasing use of security protocols like Transport Layer Security (TLS) for secure data transmission, it seems evident to implement a covert channel within this protocol to conceal communication. This covert channel could also be used for malicious purposes, such as controlling a botnet. Many security monitoring systems do not yet adequately consider this possibility, which leadsto a potential vulnerability. In this work, we first analyze the statistical and timing behavior of legitimate TLSnetwork traffic, with a particular focus on the TLS record length, which corresponds to the length of the encrypted message. Using this knowledge, we develop three different covert channels based on the TLS record length with different encoding methods and implement them as a communication medium for the well-known botnet Mirai. In several experiments, we generate network traffic in a virtual environment, analyze it and compare it with legitimate network traffic in terms of timing behavior and statistical distributions of TLS characteristics. In the next step, we conceal the implemented TLS covert channels so that they appear like legitimate network traffic. To demonstrate the threat of the implemented covert channels, we develop a data-leakage attack for our botnet. In this attack, various data which is stored on the bot is transferred over the covert channel and concealed as legitimate network traffic. This thesis provides a comprehensive analysis of the possibilities for TLS record length covert channels based on the analysis of legitimate network traffic. Furthermore, we demonstrate how the communication of a botnet can be concealed as legitimate network traffic and how data can be covertly exfiltrated from infected machines without the victims noticing which data has been transmitted. In addition to these findings, this thesis provides the foundation for future research to detect and prevent TLS record length covert channels.