Güvenlik araştırmacıları, gizli komut ve kontrol (C2) kanalları oluşturmak için popüler web konferans platformlarından yararlanan ve güvenilir iş iletişim araçlarını etkili bir şekilde sibercriminals için gizli yollara dönüştüren “Hayalet Çağrıları” adı verilen karmaşık bir yeni saldırı tekniğini tanıttılar.
Black Hat USA 2025’te Praetorian’dan Adam Crosser tarafından sunulan teknik, saldırganların Zoom, Microsoft ekipleri ve Google dahil olmak üzere büyük platformlar tarafından kullanılan büyük platformlar tarafından kullanılan dönüşü (NAT çevresindeki röleleri kullanarak geçiş) nasıl kötüye kullanabileceğini gösteriyor.
Güvenilir altyapı kullanmak
Hayalet Çağrılar yöntemi, işletmelerin web konferans çözümlerine yerleştirdiği doğal güvenden yararlanır.
Zoom,% 55.91 pazar payına ve% 32.29’a sahip Microsoft ekiplerine komuta ederken, bu platformlar genellikle geleneksel güvenlik kontrollerini atlayan yüksek güvenilir iletişim kanallarını temsil ediyor.
Crosser sunumu sırasında “Web Konferans Çözümleri gizli kısa vadeli komut ve kontrol kanalları için zorlayıcı bir vektör sağlıyor” dedi.
Saldırı, güvenlik duvarlarının arkasındaki kullanıcılar arasında bağlantı kurmaya yardımcı olan kritik altyapı bileşenleri olan Turn sunucularından yararlanır.
Bu tekniği özellikle tehlikeli kılan şey, birçok kuruluşun Web konferans trafiğini güvenlik denetiminden açıkça hariç tutmasıdır.
Microsoft Teams ve Zoom, VPN’leri atlayan bölünmüş tünel yapılandırmalarını önerir ve birçok güvenlik politikası, çağrı kalitesini korumak için bu platformları TLS denetiminden muaf tutar.
Araştırmacılar, saldırının yeteneklerini gösteren açık kaynaklı bir araç olan Turnt (Turn Tunneler) geliştirdiler.
Araç, uzak bağlantı noktası yönlendirme, yerel bağlantı noktası yönlendirme, çorap proxy ve merkezi olmayan C2 iletişimini oluşturabilir – hepsi meşru konferans trafiği olarak görünür.
Özellikle, genellikle birkaç gün boyunca geçerli kalan ve mağdur sistemlerinde aktif toplantılar veya kurulumlar gerektirmeyen dönüş kimlik bilgilerinin kalıcılığıdır. Bu, saldırganların ilk uzlaştıktan sonra bile erişimi sürdürmesini sağlar.
Saldırı, güvenlik ekipleri için önemli tespit zorlukları sunuyor. Ağ trafiği, 443 numaralı bağlantı noktası üzerinde standart TLS şifrelemesi kullanılarak meşru görünür ve bu da onu orijinal web konferans etkinliğinden neredeyse ayırt edilemez hale getirir.
Trafik hacmine veya süreç korelasyonuna odaklanan geleneksel izleme yaklaşımları çok fazla yanlış pozitif üretir.
Araştırmacılar, tekniği doğrudan tespit etmeye çalışmak yerine, saldırı zincirinin diğer unsurlarına odaklanmanızı önerir.
Etkili karşı önlemler, yetkisiz erişim denemelerini tespit etmek için kanarya jetonlarının dağıtılması ve saldırganların bu kanallar aracılığıyla vekalet edebileceği impacket veya SecretsDump.py gibi belirli hücum araçlarının izlenmesini içerir.
Araştırma, güvenilir iş uygulamalarından kaçmak için daha geniş bir saldırgan eğilimini vurgulamakta ve güvenlik ekiplerini her yerde bulunan bulut iletişimleri çağında geleneksel çevre tabanlı savunma stratejilerini yeniden düşünmeye zorlamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir