Новый метод проксирования и маскировки каналов C2 под названием Ghost Calls задействует серверы TURN, используемые приложениями для ВКС (прежде всего, Zoom и Microsoft Teams) для туннелирования трафика через доверенную инфраструктуру.

Ghost Calls использует легальные учетные данные, WebRTC и специальные инструменты для обхода большинства существующих мер защиты и противодействия злоупотреблениям, не прибегая к эксплойтам.

Новую тактику раскрыл исследователь из Praetorian Адам Кроссер на конференции BlackHat USA, отметив, что технология может теперь использоваться Red Team в проведении пентестов.

Кроссер отметило, что используя протоколы веб-конференций, которые разработаны для общения в реальном времени с малой задержкой и работают через глобально распределенные медиасерверы, реализуется функция естественных ретрансляторов трафика.

Этот подход позволяет операторам интегрировать интерактивные сеансы C2 в обычные схемы корпоративного трафика, представляя их всего лишь как временно активную онлайн-конференцию.

TURN (обход с использованием реле в обход NAT) - сетевой протокол, обычно используемый службами видеозвонков, VoIP и WebRTC, который помогает устройствам за брандмауэрами NAT взаимодействовать друг с другом, когда прямое соединение невозможно.

Когда клиент Zoom или Teams присоединяется к ВКС, он получает временные учетные данные TURN, которые Ghost Calls может перехватить, чтобы настроить туннель WebRTC на основе TURN между злоумышленником и жертвой.

Затем этот туннель можно использовать для проксирования произвольных данных или маскировки трафика C2 под обычный трафик видеоконференций через доверенную инфраструктуру, используемую Zoom или Teams.

Поскольку трафик маршрутизируется через легитимные домены и IP-адреса, широко используемые в корпоративной среде, вредоносный трафик может обойти межсетевые экраны, прокси-серверы и проверку TLS.

Кроме того, трафик WebRTC зашифрован, поэтому надёжно скрыт.

Злоупотребляя этими инструментами, злоумышленники также избегают раскрытия своих собственных доменов и инфраструктуры, получая высокопроизводительное, надежное подключение и гибкость использования как UDP, так и TCP через порт 443.

Для сравнения, традиционные механизмы C2 достаточно медленные, заметные и часто не обладают возможностями обмена в реальном времени, необходимыми для обеспечения операций VNC.

Исследования Кроссера привели также к разработке пользовательской утилиты с открытым исходным кодом (доступна на GitHub) под названием TURNt, которую можно использовать для туннелирования трафика C2 через серверы WebRTC TURN, предоставляемые Zoom и Teams.

TURNt состоит из двух компонентов: контроллера, работающего на стороне злоумышленника, и реле, развернутого на скомпрометированном хосте.

Контроллер использует прокси-сервер SOCKS для приема подключений, проходящих через TURN. Relay подключается к контроллеру, используя учётные данные TURN, и настраивает канал передачи данных WebRTC через TURN-сервер провайдера.

TURNt может выполнять проксирование SOCKS, локальную или удаленную переадресацию портов, кражу данных и обеспечивать скрытое туннелирование трафика VNC.

Разработчики Zoom или Microsoft Teams пока никак не комментируют результаты исследования и не ясно будут ли с их стороны предприниматься какие-либо меры безопасности (учитывая, что Ghost Calls не базируется на уязвимостях в продуктах).