Bilgisayar Korsanları Google Altyapısında (Google E-Tablolar ve Drive) C2 Sunucularını Nasıl Barındırıyor?

Haftalık güvenlik haberlerimi okurken, Drive ve E-Tablolar'da yerel olarak iletişim kurmak ve bilgi sızdırmak için Google Workspace'in Drive ve E-Tablolar'ını (eski adıyla G-Suite) kullanmayla ilgili bir Bleepingcomputer makalesine rastladım.

Bunun akıllıca bir proje olduğunu düşündüm çünkü:

• Çoğu C2 çerçevesinin yaptığı gibi herhangi bir belirli etki alanı veya sunucu kurmanıza gerek yoktur. (Ve birçok savunma aracı, kötü amaçlı etki alanlarının, IP'lerin vb. dinamik bir listesini tutar).

  
  

• Bu, Cobalt Strike, SilverC2 veya Brute Ratel gibi yaygın C2 ve kırmızı takım çerçevelerini kullanmaz.

  
  

• Bu program ve trafik, araçların tespitini zorlaştırmak için yalnızca Google'ın alan adlarıyla (*.google.com) etkileşime girer.

Bir uyarı: Akıllı bir EDR aracı, yürütülen kötü amaçlı komutları tanımlayabilir.

Bu küçük videoda, bu projeyi kuracağım ve bu projenin uygulanabilirliğini test edeceğim, bu da temel olarak bu depoyu çekip komutları yazmam anlamına geliyor.

İsterseniz eğitim videosunu da takip edebilirsiniz.

Kurban makinemin simülasyonu olarak Digital Ocean'da ilkel bir Ubuntu 20.04 sunucusu kullanacağım.

Bunun, saldırganın güvenliği ihlal ettikten sonra makineye konuşlandıracağı yürütülebilir bir dosya olacağını unutmayın .

Her ne kadar çoğu zaman olduğu gibi bazı uyarılar olsa da, GC2'nin Çin devleti destekli olduğundan şüphelenilen bir bilgisayar korsanlığı grubu olan APT41 tarafından yakın zamanda kullanılması, bu aracın vahşi doğada kullanıldığı anlamına geliyor.

Deneyimlerim hakkında daha fazla bilgi için videoya göz atın.

Bu rehber hakkında ne düşünüyorsunuz? Sorularınızı aşağıdaki yorumlarda bana bildirin.