Comment les pirates hébergent des serveurs C2 sur l'infrastructure Google (Google Sheets et Drive)

En parcourant mes actualités hebdomadaires sur la sécurité, je suis tombé sur un article de Bleepingcomputer sur l'utilisation de Drive et Sheets de Google Workspace (anciennement G-Suite) pour communiquer et exfiltrer des informations nativement Drive et Sheets.

J'ai pensé que c'était un projet intelligent parce que :

• Vous n'avez pas besoin de configurer de domaines ou de serveurs particuliers comme le font la plupart des frameworks C2. (Et de nombreux outils de défense maintiennent une liste dynamique de domaines malveillants, d'adresses IP, etc.).

  
  

• Cela n'utilise pas les frameworks C2 et Red Team courants, tels que Cobalt Strike, SilverC2 ou Brute Ratel.

  
  

• Ce programme et ce trafic n'interagissent qu'avec les domaines de Google (*.google.com) pour rendre la détection plus difficile pour les outils.

Une mise en garde : un outil EDR intelligent serait capable d'identifier les commandes malveillantes en cours d'exécution.

Dans cette petite vidéo, je vais mettre en place ce projet et tester la viabilité de ce projet, ce qui signifie essentiellement que je tire ce référentiel et que je tape des commandes.

Vous êtes invités à suivre le didacticiel vidéo si vous le souhaitez.

J'utiliserai un hôte Ubuntu 20.04 rudimentaire sur Digital Ocean comme simulation de ma machine victime.

NOTEZ qu'il s'agirait d'un exécutable que l'attaquant déploierait sur une machine après la compromission.

Et même s'il y a des mises en garde, comme c'est souvent le cas, l'utilisation récente de GC2 par APT41, qui est un groupe de piratage présumé parrainé par l'État chinois, signifie que cet outil est utilisé dans la nature.

Jetez un oeil à la vidéo pour plus d'informations sur mon expérience.

Qu'avez-vous pensé de ce guide ? Faites-moi part de vos questions dans les commentaires ci-dessous.