Google takvim API’lerini güvenilir bulut hizmetleri içindeki kötü amaçlı trafiği gizlemek için kötüye kullanan yeni bir sunucusız komut ve kontrol (C2) tekniği.
MeetC2 olarak adlandırılan bu hafif, platformlar arası kavram kanıtı, rakiplerin C2 iletişimlerini günlük SaaS kullanımına sorunsuz bir şekilde nasıl karıştırabileceğini, kırmızı ve mavi takımlar için taze algılama, telemetri ve yanıt zorlukları sunabileceğini gösterir.
Son zamanlarda yapılan bir dahili mor takım egzersizinde, güvenlik mühendisleri tanıdık Google alanlarına olan trafiğin geleneksel ağ savunmalarını ne kadar kolay düştüğünü gözlemledi.
Saldırganlar, standart takvim API uç noktalarından yararlanan asgari “organizatör” ve “konuk” ajan hazırlayarak, komutlar verebilir ve tamamen meşru HTTPS talepleri dahilinde yanıt alabilirler. oauth2.googleapis.com Ve www.googleapis.com– Normalde kurumsal ortamlarda beyaz liste alanları.
Güvenlik ekipleri, konuk acentesinin Google Takvim “Etkinlikler” uç noktasını her 30 saniyede bir ankete kattığını ve yeni girişleri görünmez bir şekilde kontrol ettiğini keşfetti.
Bir saldırgan sunucusundan işletilen organizatör ajanı, yeni oluşturulan bir etkinliğin “özet” alanına “Kimseden Toplantı: Kimse Toplantısı: [COMMAND]”.
Konuk aracı bu komutu aldığında ve yürüttüğünde, aynı etkinliğin “açıklama” alanını bir aracılığıyla günceller. PUT komut çıkışını bir [OUTPUT]…[/OUTPUT] engellemek.
Bu yöntem, özel bir sunucu altyapısı gerektirmez ve tüm C2 değişimleri Google’ın kendi API ağ geçitlerinden yönlendirildiğinden minimum ayak izi bırakır.
MeetC2’yi ayarlamak, Google Bulut Konsolu içinde sadece birkaç adım gerektirir. Analistler, bir proje için takvim API’sını etkinleştirmeli, olay değiştirme izinleriyle bir hizmet hesabı oluşturmalı ve bu hizmet hesabıyla özel bir takvim paylaşmalıdır.
İndirilen JSON anahtarı ile yeniden adlandırıldı credentials.jsontek bir yapı komut dosyası hem organizatör hem de konuk ikili dosyaları derler.
Operatörler daha sonra organizatör ikili kimliğini hedef takvim kimliğinde çalıştırırken, konuk ikili, tehlikeye atılan ana bilgisayarlarda sessizce anket yapar.
Pratik testlerde MeetC2, whoami– uname -ave standart veri kaybı önleme veya saldırı önleme sistemlerini tetiklemeden daha gizli keşif operasyonları.
API, mimik geçerli takvim senkronizasyon trafiğini çağırdığından, hem istemci hem de sunucu günlüklerine karışarak imza tabanlı tespitlerden kaçar. Sınırlı ağ gürültüsü ve anormal DNS aramalarının yokluğu tespiti daha da karmaşıklaştırır.
Mavi ekipler, bulut istismarı algılama özelliklerini doğrulamak için MeetC2’yi kontrollü ortamlarda çoğaltabilir.
Bu konsept kanıtı, daha önceki “GC2-Sheet” uygulamalarından ilham alır, ancak OPSEC hususlarını ve düzenlerini platformlar arası uyumluluğunu giderir.
API ağ geçidi günlüklerini enstrümanlayarak, ekipler yüksek frekanslı etkinlik yaratımları ve tek bir hizmet hesabından güncellemeler gibi olağandışı kalıpları izleyebilir.
Tekrarlayan takvim API çağrılarını işaretlemek veya şüpheli özet veya açıklama için olay yüklerini denetlemek için Google Cloud denetim günlüklerini kullanmak, Gizli Kanalları Yüzey olabilir.
Buna ek olarak, üçüncü taraf uygulama yönetişim araçları, hizmet-hesap izinleri üzerindeki daha sıkı kısıtlamaları uygulamalı ve takvim paylaşımı değişiklikleri konusunda uyarmalıdır.
MeetC2 projesi açık kaynaklıdır ve GitHub’da mevcuttur, bu da savunuculara bulut yerli C2 işlemlerine yanıtları test etmek için eyleme geçirilebilir bir platform sunar.
Geliştiriciler, işlevsel olmakla birlikte, daha fazla iyileştirmenin konuk ikili son nokta adli tıpa karşı sertleştirebileceği ve operasyonel güvenliği güçlendirebileceği konusunda uyarıyorlar.
Rakipler sunucusuz ve bulut tabanlı C2 yaklaşımları ile yenilik yapmaya devam ettikçe, güvenlik ekipleri çevre odaklı savunmalardan daha derin, hizmet düzeyindeki telemetri ve anomali tespitine geçmelidir.
MeetC2 gibi gösteriler, güvenilir SaaS alanlarında görünürlüğün önemini ve hem meta verileri hem de yük içeriğini denetleyen uyarlanabilir savunmalara duyulan ihtiyacın altını çiziyor.
Kuruluşlar, tespit kurallarını ve kontrollü bulut istismarı senaryolarına karşı yanıt oyun kitaplarını uygulayarak, açık görüşte saklanan gelişen tehditlerin önünde kalabilirler.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.