Please use this identifier to cite or link to this item: http://hdl.handle.net/11264/1501
Title: COVERT COMMAND AND CONTROL USING THE SERVER MESSAGE BLOCK PROTOCOL
Authors: Moll, Robin
Royal Military College of Canada / Collège militaire royal du Canada
Leblanc, Sylvain
Keywords: network security
covert channel
server message block
SMB
command and control
exfiltrate
network defence
C2
Abstract: In order to successfully exploit a target network, an attacker must have the ability to exercise command and control (C2) within the network without detection by its defenders. The aim of this research was to investigate how an attacker might exploit existing network support for the Server Message Block (SMB) protocol in order to implement a C2 communications channel that would be difficult to detect through network traffic analysis. This research demonstrates how a stealthy SMB C2 communications channel can be designed by first characterizing typical SMB network traffic. Once normal SMB traffic parameters are identified, suitable mechanisms for stealthy communication channels are identified, implemented and evaluated as a proof of the concept. By characterizing the network traffic and by investigating how an attacker might implement a C2 channel, this research demonstrates the threat SMB covert channels may pose to our networks.
Afin d’exploiter un réseau complexe, un attaquant doit pouvoir effectuer le commandement et le contrôle (C2) sur ce réseau sans être détecté par ses défendeurs. Le but de cette recherche était d’enquêter comme un attaqueur pourrait exploiter le soutien réseau natif pour le protocole Server Message Block (SMB) afin d’implémenter un canal de communication pour le C2 qui serait difficile à détecter par l’analyse du trafic sur le réseau. La recherche démontre qu’un canal de C2 SMB furtif peut être conçu en caractérisant tout d’abord le trafic SMB typique du réseau. Une fois que les paramètres du trafic SMB sont identifiés, des mécanismes de communications furtives sont choisis, implémentés et évalués pour démonstrer la faisabilité. En caractérisant le trafic du réseau, et en enquêtant comme un attaquant pourrait implémenter un canal C2, cette recherche démontre la menace que les canaux dérobés SMB portent à nos réseaux.
URI: http://hdl.handle.net/11264/1501
Appears in Collections:Theses

Files in This Item:
File Description SizeFormat 
20180419_Moll Thesis Final Copy.pdfThesis904.84 kBAdobe PDFView/Open


Items in RMCC eSpace are protected by copyright, with all rights reserved, unless otherwise indicated.