Google Takvim RAT (GCR), Google Takvim Etkinlikleri aracılığıyla Komuta ve Kontrol (C2) konseptinin bir kanıtıdır. Tam bir kırmızı takım altyapısı kurmanın zor olduğu durumlarda faydalıdır.
GCR’nin, Google’a doğrudan bağlantılar için Google Takvim’deki etkinlik açıklamalarını “Gizli Kanal” olarak kullanan bir Gmail hesabına ihtiyacı vardır. Bunun yanı sıra, geliştiricisi ve araştırmacısı Bay Saighnal (namı diğer Valerio Alessandroni) tarafından bildirildiği üzere Covert Channel adı verilen bir katman 7 uygulaması olarak görev yapmaktadır.
GCR, saldırıya uğramış bir bilgisayarda çalışırken, takvim etkinliği açıklamasını yeni komutlar açısından sık sık kontrol eder. Daha sonra bu komutları hedef cihazda çalıştırır ve komutların sonuçlarını olay açıklamasına ekler. Google, kodlayıcının söylediklerine dayanarak, GCR’nin yalnızca resmi Google altyapısı aracılığıyla konuştuğunu ve bunun da savunucuların tuhaf davranışları tespit etmesini zorlaştırdığını söyledi.
GCR İş Akışı
Kırmızı ekip oluşturma aracı, C2 için Google Takvim etkinliklerini kullanır. Araç, bir saldırganın Google Takvim etkinliklerinin etkinlik açıklaması alanına komutlar yerleştirmesine olanak tanır.
GCR, paylaşılan bir Google Takvim bağlantısına bağlanır, bekleyen komutları kontrol eder ve eğer mevcut değilse yeni bir “whoami” oluşturur.
Aşağıdaki resimde GCR iş akışı saldırısının tamamı sunulmaktadır:
Bunun dışında her etkinlik iki bölümden oluşur ve burada bunlardan bahsettik: –
- Başlık, aynı kimlik altında birden fazla komutun zamanlanmasına izin veren benzersiz bir kimlik içerir.
- Run komutu ve bunun base64 kodlu çıktısı açıklamada yer alır ve “|” ile ayrılır.
Üstelik bağlantılar, ağ açısından Google’ın sunucularıyla sınırlı olduğundan tamamen orijinal görünüyor.
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Bunu nasıl kullanabilirim?
Aşağıda, onu kullanmak için tüm adımlardan bahsettik: –
- Öncelikle bir Google hizmet hesabı oluşturun, kimlik bilgileri.json dosyasını alın ve betiğin dizinine koyun.
- Yeni bir Google takvimi oluşturun, bunu hizmet hesabıyla paylaşın ve komut dosyasını takvim adresinizle güncelleyin.
- Otomatik olarak farklı bir hedef kimliğine sahip bir olay oluşturur ve hedef sistemde çalıştırıldığında “whoami” komutunu çalıştırır.
- Şimdi, iletişimin etkinlik açıklamasında aşağıdaki sözdizimini kullandığınızdan emin olun:-
=> CLEAR_COMMAND|BASE64_OUTPUT
Daha önce Google TAG, Mart 2023’te İran bağlantılı bir APT grubunun C2 için Gmail’i küçük bir .NET arka kapısı olan BAANAMAIL ile kullandığını fark etmişti. Bunun yanı sıra, arka kapı IMAP aracılığıyla komutların yürütülmesi için e-posta hesaplarını kontrol ediyor.
Henüz GCR’nin gerçek hayatta kullanıldığını görmedik, ancak Mandiant birçok oyuncunun yer altı sitelerinde konseptin halka açık kanıtını paylaştığını gördü. Google, bir tehdit raporu aracılığıyla insanların hâlâ bulut hizmetlerini kötüye kullanmakla ilgilendiğini söyledi.
Patch Manager Plus: 850’den fazla üçüncü taraf uygulamaya otomatik olarak hızlı bir şekilde yama yapın – Ücretsiz Denemeyi Deneyin.
Ayrıca Okuyun:
31 Şubat’ta Linux Takvim Sisteminde Gizlenen Yeni Bir Kötü Amaçlı Yazılım
Kırmızı Takım Nedir, Taktikler ve Nasıl Çalışır?