paint-brush
Comment les pirates hébergent des serveurs C2 sur l'infrastructure Google (Google Sheets et Drive)par@grantcollins
1,415 lectures
1,415 lectures

Comment les pirates hébergent des serveurs C2 sur l'infrastructure Google (Google Sheets et Drive)

par Grant Collins2m2023/05/15
Read on Terminal Reader

Trop long; Pour lire

En parcourant mes actualités hebdomadaires sur la sécurité, je suis tombé sur un article de Bleepingcomputer sur l'utilisation de Drive et Sheets de Google Workspace (anciennement G-Suite) pour communiquer et exfiltrer des informations nativement Drive et Sheets. J'ai pensé que c'était un projet intelligent parce que : Vous n'avez pas besoin de configurer de domaines ou de serveurs particuliers comme le font la plupart des frameworks C2. (Et de nombreux outils de défense maintiennent une liste dynamique de domaines malveillants, d'adresses IP, etc.). Cela n'utilise pas les frameworks C2 et Red Team courants, tels que Cobalt Strike, SilverC2 ou Brute Ratel. Ce programme et ce trafic n'interagissent qu'avec les domaines de Google (*.google.com) pour rendre la détection plus difficile pour les outils.
featured image - Comment les pirates hébergent des serveurs C2 sur l'infrastructure Google (Google Sheets et Drive)
Grant Collins HackerNoon profile picture
0-item
1-item


En parcourant mes actualités hebdomadaires sur la sécurité, je suis tombé sur un article de Bleepingcomputer sur l'utilisation de Drive et Sheets de Google Workspace (anciennement G-Suite) pour communiquer et exfiltrer des informations nativement Drive et Sheets.


Avis de non-responsabilité : veuillez noter que cet article et son contenu sont uniquement à des fins éducatives. En expliquant les tactiques utilisées par les pirates, j'espère seulement permettre aux professionnels de la sécurité de mieux se protéger et protéger leurs entreprises.


J'ai pensé que c'était un projet intelligent parce que :

  • Vous n'avez pas besoin de configurer de domaines ou de serveurs particuliers comme le font la plupart des frameworks C2. (Et de nombreux outils de défense maintiennent une liste dynamique de domaines malveillants, d'adresses IP, etc.).


  • Cela n'utilise pas les frameworks C2 et Red Team courants, tels que Cobalt Strike, SilverC2 ou Brute Ratel.


  • Ce programme et ce trafic n'interagissent qu'avec les domaines de Google (*.google.com) pour rendre la détection plus difficile pour les outils.


Une mise en garde : un outil EDR intelligent serait capable d'identifier les commandes malveillantes en cours d'exécution.

Dans cette petite vidéo, je vais mettre en place ce projet et tester la viabilité de ce projet, ce qui signifie essentiellement que je tire ce référentiel et que je tape des commandes.


Vous êtes invités à suivre le didacticiel vidéo si vous le souhaitez.


J'utiliserai un hôte Ubuntu 20.04 rudimentaire sur Digital Ocean comme simulation de ma machine victime.


NOTEZ qu'il s'agirait d'un exécutable que l'attaquant déploierait sur une machine après la compromission.


Et même s'il y a des mises en garde, comme c'est souvent le cas, l'utilisation récente de GC2 par APT41, qui est un groupe de piratage présumé parrainé par l'État chinois, signifie que cet outil est utilisé dans la nature.


Jetez un oeil à la vidéo pour plus d'informations sur mon expérience.


Qu'avez-vous pensé de ce guide ? Faites-moi part de vos questions dans les commentaires ci-dessous.


Cet article faisait partie de la série YouTuber de HackerNoon où nous partageons le meilleur contenu technologique que YouTube a à offrir.


Si vous voulez voir plus de cette série, consultez-la ici.