Wie Hacker C2-Server in der Google-Infrastruktur hosten (Google Sheets & Drive)

Beim Durchlesen meiner wöchentlichen Sicherheitsnachrichten bin ich auf einen Artikel von Bleepingcomputer gestoßen, in dem es um die Verwendung von Drive and Sheets (ehemals G-Suite) von Google Workspace geht, um Informationen nativ in Drive und Sheets zu kommunizieren und herauszufiltern.

Ich dachte, das wäre ein cleveres Projekt, weil:

• Sie müssen keine bestimmten Domänen oder Server einrichten, wie dies bei den meisten C2-Frameworks der Fall ist. (Und viele Verteidigungstools führen eine dynamische Liste bösartiger Domänen, IPs usw.).

  
  

• Hierbei werden keine gängigen C2- und Red-Team-Frameworks wie Cobalt Strike, SilverC2 oder Brute Ratel verwendet.

  
  

• Dieses Programm und der Datenverkehr interagieren nur mit den Domains von Google (*.google.com), um die Erkennung durch Tools zu erschweren.

Eine Einschränkung: Ein intelligentes EDR- Tool wäre in der Lage, die ausgeführten bösartigen Befehle zu identifizieren.

In diesem kleinen Video werde ich dieses Projekt einrichten und die Realisierbarkeit dieses Projekts testen, was im Grunde bedeutet, dass ich dieses Repository abrufe und Befehle eingebe.

Wenn Sie möchten, können Sie gerne dem Video-Tutorial folgen.

Ich werde einen rudimentären Ubuntu 20.04-Host auf Digital Ocean als Simulation meiner Opfermaschine verwenden.

Beachten Sie , dass es sich hierbei um eine ausführbare Datei handelt, die der Angreifer nach der Kompromittierung auf einer Maschine bereitstellen würde.

Und auch wenn es wie so oft Vorbehalte gibt, bedeutet der jüngste Einsatz von GC2 durch APT41, eine mutmaßliche staatlich geförderte chinesische Hackergruppe, dass dieses Tool in freier Wildbahn eingesetzt wird.

Schauen Sie sich das Video an, um weitere Informationen zu meinen Erfahrungen zu erhalten.

Was halten Sie von diesem Leitfaden? Teilen Sie mir Ihre Fragen unten in den Kommentaren mit.