Новый метод обхода контроля и управления (C2) после эксплуатации, называемый «Призрачные вызовы», использует серверы TURN, используемые приложениями для проведения конференций, такими как Zoom и Microsoft Teams, для туннелирования трафика через доверенную инфраструктуру.
Ghost Calls использует законные учетные данные, WebRTC и специальные инструменты для обхода большинства существующих мер защиты и противодействия злоупотреблениям, не прибегая к эксплойтам.
Эту новую тактику представил Адам Кроссер на конференции BlackHat USA, где было подчеркнуто, что новая технология может использоваться бойцами Red Team при проведении учений по эмуляции проникновения.
«Мы используем протоколы веб-конференций, которые разработаны для общения в реальном времени с малой задержкой и работают через глобально распределенные медиасерверы, которые выполняют функцию естественных ретрансляторов трафика», — .
«Этот подход позволяет операторам встраивать интерактивные сеансы C2 в обычные схемы корпоративного трафика, представляя их всего лишь как временно подключенную онлайн-конференцию».
Как работает Ghost Calls
TURN (обход с использованием реле в обход NAT) — сетевой протокол, обычно используемый службами видеозвонков, VoIP и WebRTC, который помогает устройствам за брандмауэрами NAT взаимодействовать друг с другом, когда прямое соединение невозможно.
Когда клиент Zoom или Teams присоединяется к собранию, он получает временные учетные данные TURN, которые Ghost Calls может перехватить, чтобы настроить туннель WebRTC на основе TURN между злоумышленником и жертвой.
Затем этот туннель можно использовать для проксирования произвольных данных или маскировки трафика C2 под обычный трафик видеоконференций через доверенную инфраструктуру, используемую Zoom или Teams.
Поскольку трафик маршрутизируется через легитимные домены и IP-адреса, широко используемые в корпоративной среде, вредоносный трафик может обойти межсетевые экраны, прокси-серверы и проверку TLS. Кроме того, трафик WebRTC зашифрован, поэтому он надёжно скрыт.
Злоупотребляя этими инструментами, злоумышленники также избегают раскрытия своих собственных доменов и инфраструктуры, наслаждаясь высокопроизводительным, надежным подключением и гибкостью использования как UDP, так и TCP через порт 443.
Для сравнения, традиционные механизмы C2 медленные, заметные и часто не обладают возможностями обмена в реальном времени, необходимыми для обеспечения операций VNC.
Источник: Преторианец
ПОВЕРНУТЬ ЭТО
Исследования Кроссера увенчались разработкой пользовательской утилиты с открытым исходным кодом ( ) под названием «TURNt», которую можно использовать для туннелирования трафика C2 через серверы WebRTC TURN, предоставляемые Zoom и Teams.
TURNt состоит из двух компонентов, а именно контроллера, работающего на стороне злоумышленника, и реле, развернутого на скомпрометированном хосте.
Контроллер использует прокси-сервер SOCKS для приема подключений, проходящих через TURN. Relay подключается к контроллеру, используя учётные данные TURN, и настраивает канал передачи данных WebRTC через TURN-сервер провайдера.
Источник: Преторианец
TURNt может выполнять проксирование SOCKS, локальную или удаленную переадресацию портов, кражу данных и обеспечивать скрытое туннелирование трафика VNC (Virtual Network Computing).
Хотя Ghost Calls не использует уязвимости Zoom или Microsoft Teams, BleepingComputer связался с обоими поставщиками, чтобы узнать, планируют ли они ввести дополнительные меры безопасности для снижения вероятности его использования. Мы обновим эту публикацию, как только получим ответ от них.
