COVERT COMMAND AND CONTROL USING THE SERVER MESSAGE BLOCK PROTOCOL

Abstract

In order to successfully exploit a target network, an attacker must have the ability to exercise command and control (C2) within the network without detection by its defenders. The aim of this research was to investigate how an attacker might exploit existing network support for the Server Message Block (SMB) protocol in order to implement a C2 communications channel that would be difficult to detect through network traffic analysis. This research demonstrates how a stealthy SMB C2 communications channel can be designed by first characterizing typical SMB network traffic. Once normal SMB traffic parameters are identified, suitable mechanisms for stealthy communication channels are identified, implemented and evaluated as a proof of the concept. By characterizing the network traffic and by investigating how an attacker might implement a C2 channel, this research demonstrates the threat SMB covert channels may pose to our networks.

Afin d’exploiter un réseau complexe, un attaquant doit pouvoir effectuer le commandement et le contrôle (C2) sur ce réseau sans être détecté par ses défendeurs. Le but de cette recherche était d’enquêter comme un attaqueur pourrait exploiter le soutien réseau natif pour le protocole Server Message Block (SMB) afin d’implémenter un canal de communication pour le C2 qui serait difficile à détecter par l’analyse du trafic sur le réseau. La recherche démontre qu’un canal de C2 SMB furtif peut être conçu en caractérisant tout d’abord le trafic SMB typique du réseau. Une fois que les paramètres du trafic SMB sont identifiés, des mécanismes de communications furtives sont choisis, implémentés et évalués pour démonstrer la faisabilité. En caractérisant le trafic du réseau, et en enquêtant comme un attaquant pourrait implémenter un canal C2, cette recherche démontre la menace que les canaux dérobés SMB portent à nos réseaux.