Comment les pirates hébergent des serveurs C2 sur l'infrastructure Google (Google Sheets et Drive)
Trop long; Pour lire
En parcourant mes actualités hebdomadaires sur la sécurité, je suis tombé sur un article de Bleepingcomputer sur l'utilisation de Drive et Sheets de Google Workspace (anciennement G-Suite) pour communiquer et exfiltrer des informations nativement Drive et Sheets.
J'ai pensé que c'était un projet intelligent parce que :
Vous n'avez pas besoin de configurer de domaines ou de serveurs particuliers comme le font la plupart des frameworks C2. (Et de nombreux outils de défense maintiennent une liste dynamique de domaines malveillants, d'adresses IP, etc.).
Cela n'utilise pas les frameworks C2 et Red Team courants, tels que Cobalt Strike, SilverC2 ou Brute Ratel.
Ce programme et ce trafic n'interagissent qu'avec les domaines de Google (*.google.com) pour rendre la détection plus difficile pour les outils.