Uma nova metodologia de evasão de comando e controle (C2) pós-exploração chamada "Ghost Calls" abusa de servidores TURN utilizados por aplicativos de conferência como Zoom e Microsoft Teams para tunelar tráfego por meio de infraestrutura confiável.
Ghost Calls usa credenciais legítimas, WebRTC e ferramentas personalizadas para driblar a maioria das defesas existentes e medidas anti-abuso, sem depender de um exploit.
Essa nova tática foi apresentada pelo pesquisador de segurança da Praetorian, Adam Crosser, na BlackHat USA, onde foi destacado que a nova técnica pode ser usada por Red Teams ao realizar exercícios de emulação de penetração.
“Aproveitamos os protocolos de conferência web, que são projetados para comunicação em tempo real, com baixa latência e operam por meio de servidores de mídia distribuídos globalmente que funcionam como relays de tráfego naturais,” diz o briefing da apresentação.
Essa abordagem permite que operadores misturem sessões interativas de C2 no padrão de tráfego empresarial normal, aparentando não ser nada mais do que uma reunião online temporariamente integrada.
TURN (Traversal Using Relays around NAT) é um protocolo de rede comumente utilizado por serviços de chamada de vídeo, VoIP e WebRTC que ajuda dispositivos atrás de firewalls NAT a se comunicarem entre si quando uma conexão direta não é possível.
Quando um cliente Zoom ou Teams entra em uma reunião, ele recebe credenciais TURN temporárias que os Ghost Calls podem sequestrar para configurar um túnel WebRTC baseado em TURN entre o atacante e a vítima.
Esse túnel pode ser usado para proxy de dados arbitrários ou disfarçar o tráfego C2 como tráfego de videoconferência regular por meio da infraestrutura confiável usada pelo Zoom ou Teams.
Como o tráfego é roteado por domínios e IPs legítimos amplamente utilizados no ambiente empresarial, o tráfego malicioso pode burlar firewalls, proxies e inspeção TLS.
Além disso, o tráfego WebRTC é criptografado, portanto, bem oculto.
Ao abusar dessas ferramentas, os atacantes também evitam expor seus próprios domínios e infraestrutura, enquanto desfrutam de conectividade de alta performance, confiável e a adaptabilidade de usar tanto UDP quanto TCP sobre a porta 443.
Em comparação, mecanismos tradicionais C2 são lentos, conspícuos e muitas vezes carecem das capacidades de troca em tempo real necessárias para facilitar operações VNC.
A pesquisa de Crosser culminou com o desenvolvimento de uma utilidade open-source personalizada (disponível no GitHub) chamada 'TURNt' que pode ser usada para tunelar o tráfego C2 via servidores TURN WebRTC fornecidos pelo Zoom e Teams.
TURNt consiste em dois componentes, a saber, um Controlador executado no lado do atacante e um Relay implantado em um host comprometido.
O Controlador executa um servidor proxy SOCKS para aceitar conexões tuneladas através de TURN.
O Relay conecta-se de volta ao Controlador usando credenciais TURN e configura um canal de dados WebRTC por meio do servidor TURN do fornecedor.
TURNt pode realizar proxying SOCKS, encaminhamento de porta local ou remoto, exfiltração de dados e facilitar o tunelamento de tráfego VNC (Virtual Network Computing) oculto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...