해커가 Google 인프라(Google 스프레드시트 및 드라이브)에서 C2 서버를 호스팅하는 방법

주간 보안 뉴스를 읽다가 Google Workspace의 드라이브 및 시트(이전 G-Suite)를 사용하여 기본적으로 드라이브 및 시트에서 정보를 전달하고 추출하는 방법에 대한 Bleepingcomputer 기사를 우연히 발견했습니다.

나는 이것이 영리한 프로젝트라고 생각했습니다. 왜냐하면:

• 대부분의 C2 프레임워크처럼 특정 도메인, 서버를 설정할 필요가 없습니다. (그리고 많은 방어 도구는 악성 도메인, IP 등의 동적 목록을 유지 관리합니다.)

  
  

• 이는 Cobalt Strike, SilverC2 또는 Brute Ratel과 같은 일반적인 C2 및 레드팀 프레임워크를 사용하지 않습니다.

  
  

• 이 프로그램과 트래픽은 Google 도메인(*.google.com)하고만 상호작용하므로 도구 감지가 더 어려워집니다.

주의 사항: 스마트 EDR 도구는 실행 중인 악성 명령을 식별할 수 있습니다.

이 작은 비디오에서는 이 프로젝트를 설정하고 이 프로젝트의 실행 가능성을 테스트할 것입니다. 이는 기본적으로 이 저장소를 가져오고 명령을 입력하는 것을 의미합니다.

원하시면 비디오 튜토리얼을 따라가셔도 좋습니다.

나는 피해자 컴퓨터의 시뮬레이션으로 Digital Ocean에서 기본적인 Ubuntu 20.04 호스트를 사용할 것입니다.

이는 공격자가 손상 후 컴퓨터에 배포할 실행 파일이라는 점 에 유의하세요 .

그리고 종종 그렇듯이 경고 사항이 있음에도 불구하고 최근 중국 정부 후원 해킹 그룹으로 의심되는 APT41이 GC2를 사용했다는 것은 이 도구가 야생에서 사용되고 있음을 의미합니다.

내 경험에 대한 자세한 내용은 비디오를 시청하십시오.

이 가이드에 대해 어떻게 생각하시나요? 아래 의견에 귀하의 질문을 알려주십시오.