paint-brush
해커가 Google 인프라(Google 스프레드시트 및 드라이브)에서 C2 서버를 호스팅하는 방법~에 의해@grantcollins
1,415 판독값
1,415 판독값

해커가 Google 인프라(Google 스프레드시트 및 드라이브)에서 C2 서버를 호스팅하는 방법

~에 의해 Grant Collins2m2023/05/15
Read on Terminal Reader
Read this story w/o Javascript

너무 오래; 읽다

주간 보안 뉴스를 읽다가 Google Workspace의 드라이브 및 시트(이전 G-Suite)를 사용하여 기본적으로 드라이브 및 시트에서 정보를 전달하고 추출하는 방법에 대한 Bleepingcomputer 기사를 우연히 발견했습니다. 나는 이것이 영리한 프로젝트라고 생각했습니다. 왜냐하면: 대부분의 C2 프레임워크처럼 특정 도메인, 서버를 설정할 필요가 없습니다. (그리고 많은 방어 도구는 악성 도메인, IP 등의 동적 목록을 유지 관리합니다.) 이는 Cobalt Strike, SilverC2 또는 Brute Ratel과 같은 일반적인 C2 및 레드팀 프레임워크를 사용하지 않습니다. 이 프로그램과 트래픽은 Google 도메인(*.google.com)하고만 상호작용하므로 도구 감지가 더 어려워집니다.
featured image - 해커가 Google 인프라(Google 스프레드시트 및 드라이브)에서 C2 서버를 호스팅하는 방법
Grant Collins HackerNoon profile picture
0-item
1-item


주간 보안 뉴스를 읽다가 Google Workspace의 드라이브 및 시트(이전 G-Suite)를 사용하여 기본적으로 드라이브 및 시트에서 정보를 전달하고 추출하는 방법에 대한 Bleepingcomputer 기사를 우연히 발견했습니다.


면책 조항: 이 기사와 해당 내용은 교육 목적으로만 사용됩니다. 해커가 사용하는 전술을 설명함으로써 보안 전문가가 자신과 회사를 더 잘 보호할 수 있기를 바랍니다.


나는 이것이 영리한 프로젝트라고 생각했습니다. 왜냐하면:

  • 대부분의 C2 프레임워크처럼 특정 도메인, 서버를 설정할 필요가 없습니다. (그리고 많은 방어 도구는 악성 도메인, IP 등의 동적 목록을 유지 관리합니다.)


  • 이는 Cobalt Strike, SilverC2 또는 Brute Ratel과 같은 일반적인 C2 및 레드팀 프레임워크를 사용하지 않습니다.


  • 이 프로그램과 트래픽은 Google 도메인(*.google.com)하고만 상호작용하므로 도구 감지가 더 어려워집니다.


주의 사항: 스마트 EDR 도구는 실행 중인 악성 명령을 식별할 수 있습니다.

이 작은 비디오에서는 이 프로젝트를 설정하고 이 프로젝트의 실행 가능성을 테스트할 것입니다. 이는 기본적으로 이 저장소를 가져오고 명령을 입력하는 것을 의미합니다.


원하시면 비디오 튜토리얼을 따라가셔도 좋습니다.


나는 피해자 컴퓨터의 시뮬레이션으로 Digital Ocean에서 기본적인 Ubuntu 20.04 호스트를 사용할 것입니다.


이는 공격자가 손상 후 컴퓨터에 배포할 실행 파일이라는 점 에 유의하세요 .


그리고 종종 그렇듯이 경고 사항이 있음에도 불구하고 최근 중국 정부 후원 해킹 그룹으로 의심되는 APT41이 GC2를 사용했다는 것은 이 도구가 야생에서 사용되고 있음을 의미합니다.


내 경험에 대한 자세한 내용은 비디오를 시청하십시오.


이 가이드에 대해 어떻게 생각하시나요? 아래 의견에 귀하의 질문을 알려주십시오.


이 기사는 YouTube가 제공하는 최고의 기술 콘텐츠를 공유하는 HackerNoon의 YouTuber 시리즈 의 일부였습니다.


이 시리즈를 더 보고 싶다면 여기에서 확인하세요.