C2 przez legalne połączenia. Jak działa Ghost Calls?
Ghost Calls to technika, która nie opiera się na wykorzystaniu luk w oprogramowaniu, lecz na sprytnym nadużyciu mechanizmów wykorzystywanych przez popularne aplikacje do wideokonferencji. Cyberprzestępcy używają legalnych danych uwierzytelniających i infrastruktury WebRTC, by zestawić tunel komunikacyjny między swoim komputerem a maszyną ofiary, który przechodzi przez zaufane serwery obsługiwane przez dostawców takich jak Zoom czy Microsoft. Istotnym elementem tej techniki jest protokół TURN (Traversal Using Relays around NAT), który odpowiada za umożliwienie komunikacji pomiędzy użytkownikami znajdującymi się za różnymi zaporami sieciowymi. W normalnych warunkach, TURN służy do utrzymania połączeń głosowych i wideo o niskim opóźnieniu. W przypadku Ghost Calls – staje się on kanałem do ukrytej wymiany danych sterujących między cyberprzestępcą a zainfekowanym urządzeniem. W rezultacie cały ruch C2 przypomina zwykłe połączenia wideokonferencyjne – przechodzi przez port 443 (HTTPS), wykorzystuje szyfrowanie TLS i pochodzi z uznanych domen, co znacznie utrudnia jego wykrycie przez zapory, systemy IDS i inspekcję pakietów.
TURNt – nowe narzędzie dla operatorów Red Team
Nowa metoda została szczegółowo zaprezentowana podczas konferencji Black Hat USA przez Adama Crossera, badacza z firmy Praetorian. Jako dowód koncepcji zaprezentował on także narzędzie open source o nazwie TURNt, które umożliwia praktyczne wdrożenie Ghost Calls.
TURNt składa się z dwóch podstawowych komponentów:
Kontrolera po stronie atakującego – uruchamia on serwer proxy (SOCKS), który przyjmuje dane tunelowane przez TURN.
Relay’a (przekaźnika) zainstalowanego na zainfekowanej maszynie – ustanawia on kanał komunikacyjny z serwerem TURN, używając danych logowania tymczasowo przyznanych przez Zoom lub Teams.
Tak zestawiony tunel może służyć nie tylko do przekierowywania portów i przesyłania danych, ale także do eksfiltracji plików i zdalnego zarządzania systemem (np. przez VNC). Co ważne, wszystkie działania pozostają ukryte w zwykłym ruchu sieciowym aplikacji do wideokonferencji.
Dlaczego to groźne? I dla kogo?
W odróżnieniu od klasycznych kanałów C2, które opierają się na połączeniach z niestandardowymi domenami lub infrastrukturą Command & Control zarządzaną przez atakujących, Ghost Calls korzysta wyłącznie z powszechnie znanych i zaufanych punktów dostępowych.
To oznacza, że:
Ruch pochodzi z legalnych domen Zooma lub Microsoftu.
Nie ma podejrzanych adresów URL ani egzotycznych portów.
Całość danych jest szyfrowana i zaszyta w standardowym protokole WebRTC.
Nie da się łatwo wykryć nietypowego zachowania bez analizy aplikacyjnej.
Dla organizacji opierających się na monitorowaniu ruchu sieciowego pod kątem znanych wskaźników ataku (IoC), Ghost Calls stanowi realne wyzwanie. Atak nie wykorzystuje malware, exploitów ani znanych narzędzi hakerskich – opiera się jedynie na legalnych funkcjach oprogramowania i tymczasowych danych uwierzytelniających.
