Cómo los piratas informáticos alojan servidores C2 en la infraestructura de Google (Google Sheets & Drive)

Leí mis noticias de seguridad semanales y me topé con un artículo de Bleepingcomputer sobre el uso de Drive and Sheets de Google Workspace (anteriormente G-Suite) para comunicar y extraer información de forma nativa de Drive and Sheets.

Pensé que este era un proyecto inteligente porque:

• No tiene que configurar ningún dominio en particular, servidores como lo hacen la mayoría de los marcos C2. (Y muchas herramientas de defensa mantienen una lista dinámica de dominios maliciosos, IP, etc.).

  
  

• Esto no utiliza marcos comunes de C2 y red team, como Cobalt Strike, SilverC2 o Brute Ratel.

  
  

• Este programa y el tráfico solo interactúan con los dominios de Google (*.google.com) para dificultar la detección de las herramientas.

Una advertencia: una herramienta EDR inteligente podría identificar los comandos maliciosos que se están ejecutando.

En este pequeño video, configuraré este proyecto y probaré la viabilidad de este proyecto, lo que básicamente significa que voy a usar este repositorio y escribir comandos.

Le invitamos a seguir el video tutorial si lo desea.

Usaré un host Ubuntu 20.04 rudimentario en Digital Ocean como una simulación de mi máquina víctima.

TENGA EN CUENTA que este sería un ejecutable que el atacante implementaría en un compromiso posterior a la máquina.

Y aunque hay advertencias, como suele haber, el uso reciente de GC2 por parte de APT41, que es un presunto grupo de piratería patrocinado por el estado chino, significa que esta herramienta se está utilizando en la naturaleza.

Echa un vistazo al vídeo para obtener más información sobre mi experiencia.

¿Qué te pareció esta guía? Déjame saber tus preguntas en los comentarios a continuación.