HackerNews 编译,转载请注明出处:
一种名为“幽灵呼叫”(Ghost Calls)的新型攻击后命令与控制(C2)规避技术,通过滥用Zoom和Microsoft Teams等会议应用的TURN服务器,将流量隧道化传输至受信任的基础设施中。
幽灵呼叫技术利用合法凭证、WebRTC及定制工具,在不依赖漏洞利用的情况下,绕过了大多数现有防御和反滥用措施。
该新战术由Praetorian安全研究员Adam Crosser在BlackHat USA大会上公布,并强调红队(Red Teams)在执行渗透模拟演习时可使用该技术。
“我们利用专为实时、低延迟通信设计的网络会议协议,这些协议通过作为天然流量中继的全球分布式媒体服务器运行,”演示文稿摘要中写道。“这种方法使操作者能够将交互式C2会话融入正常的企业流量模式中,使其看起来就像临时加入了一个在线会议。”
幽灵呼叫如何运作
TURN(Traversal Using Relays around NAT)是一种网络协议,常见于视频通话、VoIP和WebRTC服务中。当设备位于NAT防火墙后无法直接连接时,它可帮助设备相互通信。
当Zoom或Teams客户端加入会议时,它会收到临时TURN凭证。幽灵呼叫技术可劫持这些凭证,在攻击者与受害者之间建立基于TURN的WebRTC隧道。该隧道可用于代理任意数据,或将C2流量伪装成通过Zoom或Teams使用的受信任基础设施传输的常规视频会议流量。
由于流量通过企业广泛使用的合法域名和IP地址路由,恶意流量可绕过防火墙、代理和TLS检测。此外,WebRTC流量是加密的,因此隐蔽性极佳。通过滥用这些工具,攻击者既能避免暴露自身域名和基础设施,又能享受高性能、可靠的连接,以及通过443端口同时使用UDP和TCP的适应性优势。相比之下,传统C2机制速度慢、特征明显,且通常缺乏支持VNC(虚拟网络计算)操作所需的实时交换能力。
TURNt工具
Crosser的研究最终开发出一款名为“TURNt”的自定义开源工具(可在GitHub获取),该工具可利用Zoom和Teams提供的WebRTC TURN服务器对C2流量进行隧道化传输。
TURNt包含两个组件:运行在攻击者端的控制器(Controller)和部署在已入侵主机上的中继器(Relay)。控制器运行一个SOCKS代理服务器,用于接收通过TURN隧道传输的连接。中继器使用TURN凭证回连控制器,并通过提供商的TURN服务器建立WebRTC数据通道。
TURNt可执行SOCKS代理、本地或远程端口转发、数据窃取,并支持隐蔽的VNC流量隧道传输。
尽管幽灵呼叫技术并未利用Zoom或Microsoft Teams的任何漏洞,BleepingComputer已联系两家供应商,询问其是否计划引入额外保障措施以降低该技术的可行性。将在收到任一方回复后更新本文。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
