paint-brush
Cách tin tặc lưu trữ máy chủ C2 trên cơ sở hạ tầng của Google (Google Sheets & Drive)từ tác giả@grantcollins
1,415 lượt đọc
1,415 lượt đọc

Cách tin tặc lưu trữ máy chủ C2 trên cơ sở hạ tầng của Google (Google Sheets & Drive)

từ tác giả Grant Collins2m2023/05/15
Read on Terminal Reader

dài quá đọc không nổi

Đọc qua tin tức bảo mật hàng tuần của tôi và tình cờ thấy một bài báo của Bleepingcomputer về cách sử dụng Drive và Trang tính của Google Workspace (trước đây là G-Suite) để giao tiếp và lọc thông tin nguyên bản trên Drive và Trang tính. Tôi nghĩ đây là một dự án thông minh vì: Bạn không phải thiết lập bất kỳ tên miền, máy chủ cụ thể nào như hầu hết các khung C2 đều làm. (Và nhiều công cụ phòng thủ duy trì một danh sách động các miền, IP độc hại, v.v.). Điều này không sử dụng các khung C2 và đội đỏ phổ biến, chẳng hạn như Cobalt Strike, SilverC2 hoặc Brute Ratel. Chương trình và lưu lượng truy cập này chỉ tương tác với các miền của Google (*.google.com) để khiến các công cụ khó phát hiện hơn.
featured image - Cách tin tặc lưu trữ máy chủ C2 trên cơ sở hạ tầng của Google (Google Sheets & Drive)
Grant Collins HackerNoon profile picture
0-item
1-item


Đọc qua tin tức bảo mật hàng tuần của tôi và tình cờ thấy một bài báo của Bleepingcomputer về việc sử dụng Drive và Trang tính của Google Workspace (trước đây là G-Suite) để giao tiếp và lọc thông tin nguyên bản trên Drive và Trang tính.


Tuyên bố miễn trừ trách nhiệm: Xin lưu ý bài viết này và nội dung của nó chỉ dành cho mục đích giáo dục. Bằng cách giải thích các chiến thuật được sử dụng bởi tin tặc, tôi hy vọng chỉ giúp các chuyên gia bảo mật có thể bảo vệ bản thân và công ty của họ tốt hơn.


Tôi nghĩ đây là một dự án thông minh vì:

  • Bạn không phải thiết lập bất kỳ tên miền, máy chủ cụ thể nào như hầu hết các khung C2 đều làm. (Và nhiều công cụ phòng thủ duy trì một danh sách động các miền, IP độc hại, v.v.).


  • Điều này không sử dụng các khung C2 và đội đỏ phổ biến, chẳng hạn như Cobalt Strike, SilverC2 hoặc Brute Ratel.


  • Chương trình và lưu lượng truy cập này chỉ tương tác với các miền của Google (*.google.com) để khiến các công cụ khó phát hiện hơn.


Báo trước: Một công cụ EDR thông minh sẽ có thể xác định các lệnh độc hại đang được thực thi.

Trong video nhỏ này, tôi sẽ thiết lập dự án này và kiểm tra khả năng tồn tại của dự án này, về cơ bản có nghĩa là tôi lấy kho lưu trữ này và nhập lệnh.


Bạn có thể làm theo cùng với video hướng dẫn nếu bạn muốn.


Tôi sẽ sử dụng máy chủ Ubuntu 20.04 thô sơ trên Digital Ocean để mô phỏng máy nạn nhân của mình.


LƯU Ý rằng đây sẽ là một tệp thực thi mà kẻ tấn công sẽ triển khai trên một thỏa hiệp bài đăng trên máy.


Và mặc dù có những cảnh báo, như vẫn thường xảy ra, việc sử dụng GC2 gần đây bởi APT41, một nhóm tin tặc bị nghi ngờ do nhà nước Trung Quốc tài trợ, có nghĩa là công cụ này đang được sử dụng ngoài tự nhiên.


Hãy xem video để biết thêm thông tin về kinh nghiệm của tôi.


Bạn nghĩ gì về hướng dẫn này? Hãy cho tôi biết câu hỏi của bạn trong phần bình luận bên dưới.


Bài viết này là một phần trong chuỗi YouTuber của HackerNoon , nơi chúng tôi chia sẻ nội dung công nghệ hay nhất mà YouTube cung cấp.


Nếu bạn muốn xem thêm từ loạt bài này, hãy xem tại đây.


L O A D I N G
. . . comments & more!

About Author

Grant Collins HackerNoon profile picture
Grant Collins@grantcollins
An I.T. nerd who wants to think he is good at cybersecurity but really is just a script kiddie.

chuyên mục

BÀI VIẾT NÀY CŨNG CÓ MẶT TẠI...