COVERT STORAGE CHANNEL (скрытый канал с памятью)

Скрытый канал с памятью – тип атаки на операционную систему, который использует одну или несколько областей дискового пространства для получения теневого доступа к ресурсам операционной системы.

Описание

Скрытый канал по памяти позволяет воздействовать или заражать вирусом другие части информационной системы через общий файловый ресурс.

Его принцип работы заключается в следующем. Зловредное ПО, переданное по скрытому каналу связи, создает файл с определенными правилами в разрешенной области дискового пространства.

Второй ПК, который имеет право только на чтение с данного дискового пространства, считывает файл с правилами. В результате происходит заражение, зловредное ПО продолжает действовать уже на других общих файловых ресурсах.

Опасность данного типа атаки в том, что система мониторинга не фиксирует сектора, которые использовались вирусом для записи новых файлов на общий ресурс.

Поиск скрытых каналов

Чтобы обнаружить скрытый канал по памяти, необходимо использовать анализ на основе модели Маркова. С его помощью измеряется пропускная способность каналов связи. Для расчета необходимо знать точное количество бит, которое передается через каждый канал за единицу времени.

По результатам вычислений составляется матрица, в которой более нагруженные каналы используются для передачи вредоносного программного обеспечения.

Альтернативный вариант – расчет пропускной способности на основе среднего количества взаимной информации. Для этого берут входные и выходные показатели каждого канала связи, а после вычисляют среднее значение.

Скрытый канал по памяти использует общий файловый ресурс для передачи вредоносного кода другим элементам информационной системы. Для его обнаружения используются разные методы анализа пропускной способности каналов передачи данных.