Covert Channels: ফায়ারওয়ালের নজরদারি এড়িয়ে সাইবার অপরাধীদের ডেটা চুরি!

Covert Channels হলো এমন একটি যোগাযোগ মাধ্যম যা সিস্টেমের প্রকৃত ডিজাইন বা নিরাপত্তা নীতিকে বাইপাস করে গোপনে তথ্য আদান-প্রদান করতে ব্যবহৃত হয়। ১৯৭৩ সালে Butler Lampson সর্বপ্রথম এই ধারণাটি প্রকাশ করেন যেখানে তিনি দেখিয়েছিলেন কীভাবে দুটি প্রক্রিয়া তাদের নির্ধারিত যোগাযোগ চ্যানেলের বাইরে গিয়েও তথ্য বিনিময় করতে পারে। বর্তমান নেটওয়ার্ক নিরাপত্তা প্রসঙ্গে, এই ধারণাটি অনেক বেশি বিস্তৃত হয়েছে এবং এটি প্রধানত দুটি ভাগে বিভক্ত: Storage Channels এবং Timing Channels।

Storage Channels কাজ করে যখন একটি প্রক্রিয়া স্টোরেজ অবজেক্টে তথ্য লেখে এবং অন্য একটি প্রক্রিয়া সেটি পড়ে। নেটওয়ার্কের প্রসঙ্গে, এটি প্রায়শই প্রটোকল হেডারের অব্যবহৃত ফিল্ড, পেলোড বা মেটাডেটার মধ্যে তথ্য লুকানোর মাধ্যমে ঘটে। যেমন TCP হেডারের Reserved বিট, IP Identification ফিল্ড অথবা ICMP প্যাকেটের Payload অংশে ডেটা এনকোড করা যেতে পারে।

Timing Channels কাজ করে যখন তথ্য কোনো ইভেন্ট ঘটার সময় বা ব্যবধানের মধ্যে লুকানো থাকে। উদাহরণস্বরূপ, প্যাকেটগুলোর মধ্যে নির্দিষ্ট সময় ব্যবধান ব্যবহার করে বাইনারি তথ্য প্রকাশ করা সম্ভব। যদি ১০০ মিলিসেকেন্ড ব্যবধান মানে ০ এবং ২০০ মিলিসেকেন্ড ব্যবধান মানে ১, তাহলে একটি সাধারণ পিং ট্রাফিকের সময় ব্যবধান বিশ্লেষণ করে গোপন বার্তা পুনর্গঠন করা যায়। এই ধরনের চ্যানেল শনাক্ত করা অত্যন্ত কঠিন কারণ ট্রাফিকের কন্টেন্ট সম্পূর্ণ স্বাভাবিক দেখায়।

আক্রমণকারীরা Covert Channels তৈরির জন্য বিভিন্ন প্রটোকলের অন্তর্নিহিত নমনীয়তাকে কাজে লাগান। সবচেয়ে জনপ্রিয় কৌশলগুলোর মধ্যে একটি হলো DNS Tunneling। যেহেতু প্রায় প্রতিটি প্রতিষ্ঠান DNS ট্রাফিকের জন্য পোর্ট ৫৩ খোলা রাখে এবং এই ট্রাফিক সাধারণত গভীরভাবে পরিদর্শন করা হয় না, তাই আক্রমণকারীরা DNS query-এর সাবডোমেইন অংশে এনকোড করা ডেটা লুকিয়ে পাঠাতে পারেন। iodine, dnscat2 এবং DNSExfiltrator-এর মতো টুল এই কৌশলকে স্বয়ংক্রিয় করেছে।

আরেকটি প্রচলিত কৌশল হলো ICMP Tunneling। Ping প্যাকেটের পেলোড অংশে যে কোনো ডেটা বহন করা যায়, এবং অনেক প্রতিষ্ঠান অভ্যন্তরীণ নেটওয়ার্ক ডায়াগনস্টিকের প্রয়োজনে ICMP অনুমোদন করে। আক্রমণকারীরা ptunnel বা icmpsh-এর মতো টুল ব্যবহার করে সম্পূর্ণ একটি কমান্ড-অ্যান্ড-কন্ট্রোল চ্যানেল ICMP-র মাধ্যমে পরিচালনা করতে পারেন।

HTTPS-এর মাধ্যমে Covert Channel তৈরি করা বর্তমানে সবচেয়ে জনপ্রিয় পদ্ধতি। যেহেতু HTTPS ট্রাফিক এনক্রিপ্টেড এবং বৈধ ব্যবসায়িক প্রয়োজনে সর্বদাই অনুমোদিত, তাই আক্রমণকারীরা সাধারণ HTTP/HTTPS রিকোয়েস্টের আড়ালে কমান্ড পাঠান এবং রেসপন্সে ডেটা গ্রহণ করেন। Cobalt Strike, Empire এবং Sliver-এর মতো অফেনসিভ ফ্রেমওয়ার্কগুলো এই ধরনের চ্যানেলকে এতটাই বৈধ-দেখানো করে তৈরি করে যে স্বাভাবিক ট্রাফিক থেকে পার্থক্য করা কঠিন হয়ে পড়ে।

Social Media এবং Cloud Storage-ভিত্তিক চ্যানেলও দ্রুত জনপ্রিয়তা পাচ্ছে। আক্রমণকারীরা Twitter, Discord, GitHub Gists, Pastebin, Google Drive বা Dropbox-এর মতো বৈধ সার্ভিস ব্যবহার করে কমান্ড পাঠাচ্ছেন এবং ডেটা পাচ্ছেন। এই কৌশলগুলোর বিরুদ্ধে প্রতিরোধ গড়ে তোলা প্রায় অসম্ভব কারণ এই সার্ভিসগুলো ব্লক করা মানে ব্যবসায়িক কার্যক্রম ব্যাহত হওয়া।

TCP/IP প্রটোকল স্যুটের প্রায় প্রতিটি অংশই Covert Channel তৈরির সম্ভাবনা ধারণ করে। IP হেডারের Identification ফিল্ড, Type of Service বিট, Time to Live ভ্যালু, এবং Fragmentation Offset-সবগুলোই গোপন তথ্য বহন করতে ব্যবহৃত হতে পারে। TCP হেডারের Initial Sequence Number, Acknowledgment Number, Window Size, এবং Urgent Pointer ফিল্ডেও তথ্য এনকোড করা সম্ভব।

HTTP প্রটোকলে কুকি, User-Agent স্ট্রিং, Referer হেডার এবং কাস্টম হেডারগুলো প্রায়শই Covert Channel-এর জন্য অপব্যবহার হয়। বিশেষত User-Agent স্ট্রিং অত্যন্ত নমনীয় এবং সেখানে প্রায় কোনো ফরম্যাটিং সীমাবদ্ধতা নেই, ফলে আক্রমণকারীরা এনকোড করা পেলোড সহজেই লুকিয়ে রাখতে পারেন।

SSH এবং VPN টানেলিংও Covert Channel-এর জন্য একটি গুরুত্বপূর্ণ ক্ষেত্র। যদিও এই প্রটোকলগুলো বৈধ উদ্দেশ্যে ব্যবহৃত হয়, আক্রমণকারীরা যদি কোনোভাবে কর্পোরেট নেটওয়ার্কের ভিতরে SSH সেশন স্থাপন করতে পারেন, তাহলে সেই এনক্রিপ্টেড টানেলের মধ্য দিয়ে যেকোনো ধরনের ডেটা প্রবাহিত করতে পারেন। Reverse SSH টানেলিং এই ক্ষেত্রে বিশেষভাবে বিপজ্জনক।

আধুনিক IoT এবং OT পরিবেশে MQTT, CoAP এবং Modbus-এর মতো প্রটোকলগুলো নতুন Covert Channel-এর সম্ভাবনা তৈরি করেছে। এই প্রটোকলগুলো সাধারণত প্রচলিত নিরাপত্তা সরঞ্জাম দ্বারা গভীরভাবে পরিদর্শিত হয় না, ফলে এগুলো আক্রমণকারীদের জন্য একটি আকর্ষণীয় লক্ষ্য হয়ে উঠেছে।

APT গ্রুপগুলো বছরের পর বছর Covert Channels ব্যবহার করে আসছে। OilRig নামক ইরানি APT গ্রুপ DNS Tunneling ব্যবহার করে মধ্যপ্রাচ্যের সরকারি প্রতিষ্ঠান থেকে বিপুল পরিমাণ ডেটা পাচার করেছে। তাদের তৈরি ম্যালওয়্যার সাবডোমেইন কোয়েরির মাধ্যমে চুরিকৃত ডেটা ছোট ছোট অংশে বিভক্ত করে বাইরে পাঠাত যা প্রায় ২ বছর ধরে অশনাক্ত ছিল।

APT29 বা Cozy Bear গ্রুপ HammerDuke নামক ব্যাকডোর তৈরি করেছিল যা Twitter অ্যাকাউন্ট থেকে কমান্ড গ্রহণ করত। একই গ্রুপ পরবর্তীতে SUNBURST ম্যালওয়্যারে SolarWinds সাপ্লাই চেইন আক্রমণের সময় HTTP-ভিত্তিক Covert Channel ব্যবহার করেছিল যা মার্কিন সরকারি সংস্থাসহ ১৮০০০-এর বেশি প্রতিষ্ঠানকে প্রভাবিত করেছিল।

DarkHydrus নামক গ্রুপ RogueRobin নামে একটি ম্যালওয়্যার তৈরি করেছিল যা Google Drive-এর API ব্যবহার করে Covert Channel স্থাপন করত। এই কৌশলে Google Drive-কে কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভার হিসেবে ব্যবহার করা হত যা বৈধ ট্রাফিক হিসেবে দেখাত এবং নিরাপত্তা সরঞ্জামকে বিভ্রান্ত করত।

বাংলাদেশের প্রসঙ্গে, ২০১৬ সালের বাংলাদেশ ব্যাংক হ্যাকিং ঘটনার পেছনে যে Lazarus গ্রুপ ছিল, তারা পরবর্তীতে বিভিন্ন আক্রমণে Covert Channels ব্যবহার করেছে। তাদের তৈরি ম্যালওয়্যারগুলো প্রায়শই বৈধ ক্লাউড সার্ভিসের আড়ালে ডেটা পাচার করত যা ফরেনসিক বিশ্লেষণকে অত্যন্ত জটিল করে তুলত।

Covert Channels শনাক্তকরণ সাইবার নিরাপত্তার সবচেয়ে চ্যালেঞ্জিং কাজগুলোর একটি। তবে আধুনিক প্রযুক্তি ব্যবহার করে কিছু কার্যকর পদ্ধতি গড়ে তোলা সম্ভব। প্রথমত, ট্রাফিক বেসলাইন স্থাপন করা অত্যন্ত গুরুত্বপূর্ণ। প্রতিষ্ঠানের স্বাভাবিক DNS, HTTP এবং ICMP ট্রাফিকের ভলিউম, ফ্রিকোয়েন্সি এবং প্যাটার্ন রেকর্ড করে রাখুন। যেকোনো অস্বাভাবিক বিচ্যুতি তদন্তের জন্য সংকেত হিসেবে কাজ করতে পারে।

দ্বিতীয়ত, Statistical Analysis এবং Machine Learning ব্যবহার করুন। DNS query-এর দৈর্ঘ্য, এন্ট্রপি এবং সাবডোমেইন ফ্রিকোয়েন্সি বিশ্লেষণ করে DNS Tunneling শনাক্ত করা সম্ভব। যদি একটি ডোমেইনে অস্বাভাবিকভাবে বড় বড় সাবডোমেইন কোয়েরি পাঠানো হয় এবং প্রতিটি কোয়েরির এন্ট্রপি উচ্চ মাত্রার হয়, তাহলে সেটি সন্দেহজনক।

তৃতীয়ত, Deep Packet Inspection এবং Behavioral Analytics একত্রিত করুন। শুধু সিগনেচার-ভিত্তিক শনাক্তকরণ আধুনিক Covert Channels-এর বিরুদ্ধে অকার্যকর। User and Entity Behavior Analytics বা UEBA সিস্টেম ব্যবহার করে অস্বাভাবিক যোগাযোগ প্যাটার্ন চিহ্নিত করুন।

চতুর্থত, SSL/TLS Inspection বাস্তবায়ন করুন। যদিও এটি গোপনীয়তা ও পারফরম্যান্স উদ্বেগ তৈরি করে, কিন্তু এনক্রিপ্টেড ট্রাফিকের ভেতরে কী আছে তা দেখতে না পারলে আধুনিক Covert Channels শনাক্ত করা প্রায় অসম্ভব। SSL Bumping বা TLS Interception প্রক্সি যথাযথ গভর্ন্যান্সের সাথে স্থাপন করা যেতে পারে।

পঞ্চমত, Endpoint Detection and Response বা EDR সমাধান ব্যবহার করুন। Covert Channels অনেক সময় নেটওয়ার্ক স্তরে শনাক্ত করা কঠিন হলেও এন্ডপয়েন্টে প্রক্রিয়া আচরণ, ফাইল সিস্টেম পরিবর্তন এবং রেজিস্ট্রি অ্যাক্সেস পর্যবেক্ষণ করে ম্যালিশাস কার্যকলাপ ধরা পড়তে পারে।

Covert Channels প্রতিরোধের জন্য একটি বহুস্তরীয় প্রতিরক্ষা কৌশল প্রয়োজন। প্রথমত, কঠোর Egress Filtering বাস্তবায়ন করুন। প্রতিটি আউটবাউন্ড সংযোগের জন্য একটি বৈধ ব্যবসায়িক প্রয়োজনীয়তা থাকা উচিত। যা প্রয়োজন নয় তা সম্পূর্ণভাবে ব্লক করুন। বিশেষত ICMP, DNS এবং অসাধারণ পোর্টের ট্রাফিক যত্নসহকারে নিয়ন্ত্রণ করুন।

দ্বিতীয়ত, ডোমেইন রেপুটেশন এবং ক্যাটাগরাইজেশন সার্ভিস ব্যবহার করুন। নতুন রেজিস্টার্ড ডোমেইন, কম রেপুটেশনের ডোমেইন এবং DGA বা Domain Generation Algorithm দ্বারা তৈরি ডোমেইনগুলোতে যোগাযোগ স্বয়ংক্রিয়ভাবে ব্লক করুন।

তৃতীয়ত, DNS Security Extensions এবং DNS over HTTPS পলিসি সঠিকভাবে ব্যবস্থাপনা করুন। ব্যবহারকারীদের যন্ত্র যেন কর্পোরেট DNS রিসলভার বাইপাস করে বাহ্যিক DoH সার্ভার ব্যবহার করতে না পারে সেটি নিশ্চিত করুন।

চতুর্থত, Zero Trust আর্কিটেকচার গ্রহণ করুন। প্রতিটি সংযোগকে আনট্রাস্টেড ধরে নিন এবং প্রতিটি অ্যাক্সেস রিকোয়েস্টকে যাচাই করুন। এটি Covert Channels স্থাপনের পদক্ষেপগুলোতেই বাধা সৃষ্টি করে।

পঞ্চমত, নিয়মিত Threat Hunting কার্যক্রম পরিচালনা করুন। একটি দক্ষ Threat Hunting টিম নিজে থেকেই সিস্টেমের লগ এবং ট্রাফিক বিশ্লেষণ করে অশনাক্ত হুমকি খুঁজে বের করতে পারে যা স্বয়ংক্রিয় সরঞ্জাম মিস করে।

ষষ্ঠত, কর্মচারী সচেতনতা বৃদ্ধি করুন। অনেক Covert Channels প্রাথমিকভাবে ফিশিং বা সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে এন্ডপয়েন্ট কম্প্রোমাইজ করার পরই কাজ করে। তাই প্রাথমিক সংক্রমণ প্রতিরোধ করা সবচেয়ে কার্যকর প্রতিরক্ষা।