Como os hackers hospedam servidores C2 na infraestrutura do Google (Planilhas e Drive do Google)

Lendo minhas notícias semanais de segurança, encontrei um artigo da Bleepingcomputer sobre como usar o Drive e o Sheets do Google Workspace (anteriormente G-Suite) para comunicar e extrair informações nativamente do Drive e do Sheets.

Eu pensei que este era um projeto inteligente porque:

• Você não precisa configurar nenhum domínio específico, servidores como a maioria das estruturas C2. (E muitas ferramentas de defesa mantêm uma lista dinâmica de domínios maliciosos, IPs, etc).

  
  

• Isso não usa estruturas comuns de equipe C2 e vermelha, como Cobalt Strike, SilverC2 ou Brute Ratel.

  
  

• Este programa e tráfego só interagem com os domínios do Google (*.google.com) para tornar a detecção mais difícil para as ferramentas.

Uma ressalva: uma ferramenta EDR inteligente seria capaz de identificar os comandos maliciosos que estão sendo executados.

Neste pequeno vídeo, estarei configurando este projeto e testando a viabilidade deste projeto, o que basicamente significa puxar este repositório e digitar comandos.

Você está convidado a acompanhar o tutorial em vídeo, se desejar.

Estarei usando um host rudimentar do Ubuntu 20.04 no Digital Ocean como uma simulação da minha máquina vítima.

OBSERVE que este seria um executável que o invasor implantaria em uma máquina após o comprometimento.

E mesmo que haja ressalvas, como muitas vezes há, o uso recente do GC2 pelo APT41, que é um suposto grupo de hackers patrocinado pelo estado chinês, significa que essa ferramenta está sendo usada em estado selvagem.

Dê uma olhada no vídeo para mais informações sobre a minha experiência.

O que você achou deste guia? Deixe-me saber suas perguntas nos comentários abaixo.