Cách tin tặc lưu trữ máy chủ C2 trên cơ sở hạ tầng của Google (Google Sheets & Drive)

Đọc qua tin tức bảo mật hàng tuần của tôi và tình cờ thấy một bài báo của Bleepingcomputer về việc sử dụng Drive và Trang tính của Google Workspace (trước đây là G-Suite) để giao tiếp và lọc thông tin nguyên bản trên Drive và Trang tính.

Tôi nghĩ đây là một dự án thông minh vì:

• Bạn không phải thiết lập bất kỳ tên miền, máy chủ cụ thể nào như hầu hết các khung C2 đều làm. (Và nhiều công cụ phòng thủ duy trì một danh sách động các miền, IP độc hại, v.v.).

  
  

• Điều này không sử dụng các khung C2 và đội đỏ phổ biến, chẳng hạn như Cobalt Strike, SilverC2 hoặc Brute Ratel.

  
  

• Chương trình và lưu lượng truy cập này chỉ tương tác với các miền của Google (*.google.com) để khiến các công cụ khó phát hiện hơn.

Báo trước: Một công cụ EDR thông minh sẽ có thể xác định các lệnh độc hại đang được thực thi.

Trong video nhỏ này, tôi sẽ thiết lập dự án này và kiểm tra khả năng tồn tại của dự án này, về cơ bản có nghĩa là tôi lấy kho lưu trữ này và nhập lệnh.

Bạn có thể làm theo cùng với video hướng dẫn nếu bạn muốn.

Tôi sẽ sử dụng máy chủ Ubuntu 20.04 thô sơ trên Digital Ocean để mô phỏng máy nạn nhân của mình.

LƯU Ý rằng đây sẽ là một tệp thực thi mà kẻ tấn công sẽ triển khai trên một thỏa hiệp bài đăng trên máy.

Và mặc dù có những cảnh báo, như vẫn thường xảy ra, việc sử dụng GC2 gần đây bởi APT41, một nhóm tin tặc bị nghi ngờ do nhà nước Trung Quốc tài trợ, có nghĩa là công cụ này đang được sử dụng ngoài tự nhiên.

Hãy xem video để biết thêm thông tin về kinh nghiệm của tôi.

Bạn nghĩ gì về hướng dẫn này? Hãy cho tôi biết câu hỏi của bạn trong phần bình luận bên dưới.