ConvoC2 adlı gizli Komuta ve Kontrol (C2) altyapısı Red Team aracı, siber saldırganların güvenliği ihlal edilmiş ana bilgisayarlarda sistem komutlarını uzaktan yürütmek için Microsoft Teams’ten nasıl yararlanabileceğini gösteriyor.
Red Team operasyonları göz önünde bulundurularak tasarlanan bu yenilikçi proje, gizli veri sızıntısı ve komut yürütme için Teams mesajlarını kullanıyor ve Microsoft işbirliği aracına güvenen kuruluşlar için önemli bir güvenlik sorunu ortaya koyuyor.
ConvoC2 Nasıl Çalışır?
ConvoC2, verilere gizlice sızmak ve sızdırmak için Microsoft Teams’i bir araç olarak kullanır. Teams mesajlarındaki gizli etiketlerden yararlanılması, güvenliği ihlal edilmiş sistemlerde yürütülecek komutların eklenmesine neden olur.
Verileri sızdırmak için çıktılar Uyarlanabilir Kartların görüntü URL’lerinde gizlenir ve saldırganlar tarafından kontrol edilen bir C2 sunucusuna giden HTTP isteklerini tetikler.
Benzersiz metodoloji algılamayı en aza indirir:
- Trafik Microsoft sunucuları üzerinden aktığı için kurban ile saldırgan arasında doğrudan bir bağlantı bulunmuyor.
- Antivirüs ve izleme araçları Teams günlüklerini nadiren inceleyerek bu tekniğin daha gizli olmasını sağlar.
- Kullanıcı saldırganın sohbet isteğini kabul etmese bile komutlar Teams günlüklerinde önbelleğe alınır ve çalıştırılabilir.
Mimarlık ve Gösteri
Bir tanıtım videosunda ConvoC2’nin çalışması vurgulanıyor. Testte, biri Windows 11’de yeni Teams’i çalıştıran, diğeri Windows 10’da eski Teams’i çalıştıran, güvenliği ihlal edilmiş iki ana bilgisayar ConvoC2 sunucusu aracılığıyla kontrol ediliyor.
Bazı senaryolarda saldırgan, kurbanın kuruluşunun dışında yer alır ve kurbanın kuruluşlar arası istismar potansiyelini vurgular.
Are you From SOC/DFIR Teams? Analyze Malware and Phishing with ANY.RUN’s Interactive Sandbox – Try for Free
ConvoC2’yi Kurma
Bu aracı test etmek ister misiniz? İşte ConvoC2’nin gerektirdiği şeyler:
ConvoC2 Sunucusunu ve Aracısını yükleyin:
Gelen Web Kancalarıyla Bir Ekip Kanalı Ayarlayın:
Bir Teams kanalı oluşturun ve bir İş Akışı Gelen Web Kancasını yapılandırın. Bu, çıkarılan verileri içeren Uyarlanabilir Kartların alınması için ortam görevi görür.
Kurban Kimliklerini ve Kimlik Doğrulama Jetonlarını alın:
Bir web proxy kullanarak, kurbanın benzersiz kimliklerini ve Taşıyıcı jetonunu elde etmek için Teams API isteklerini engelleyin. Bu, sunucunun kimlik doğrulaması yapmasına ve komut göndermesine olanak tanır.
Sunucuyu Çalıştırın ve Çalıştırın:
Sunucu, 80 numaralı bağlantı noktasında halka açık HTTP trafiğini kullanarak bağlı aracıları yönetir ve kurban sistemlerde komutları yürütür.
Yürütme Gereksinimleri
- Microsoft Teams kurbanın sisteminde (arka planda bile) çalışıyor olmalıdır.
- HTTP trafiği etkinleştirilmiş, yapılandırılabilir bir C2 sunucusu.
- Web kancalarını yapılandırmak ve kimlikleri/kimlik doğrulama belirteçlerini yakalamak için temel kurulum bilgisi.
Ayrıntılı kurulum kılavuzu için projenin veri havuzu talimatlarına bakın.
ConvoC2 daha önceki araştırmalardan ilham alıyor, GIFKabuktarafından yürütülen BobbyrsecTeams sohbetlerinde yayınlanan Base64 kodlu GIF’lere komutların yerleştirilmesinde güvenlik açıkları tespit edildi.
Microsoft bu sorunları kısmen çözmüş olsa da ConvoC2, komutları doğrudan gizli sunuculara yerleştiren bir alternatifin öncülüğünü yapıyor. Önceki güvenlik önlemlerini atlayarak mesajların içindeki etiketleri kullanın.
Örnek: Komutlar dosyada gizlidir. aria-label niteliği ile etiketler style="display:none". Microsoft Teams bunları günlüğe kaydederek komutların gizlice yürütülmesini sağlar.
Geliştirici, ConvoC2’nin yeteneklerini geliştirmek için çeşitli iyileştirmelerin ana hatlarını çizdi:
- Entegrasyon AES şifreleme mesaj güvenliği için.
- Bir aracının etkin olup olmadığını tespit etmek için canlı tutma mekanizmasının uygulanması.
- Ekleme PowerShell Daha geniş uyumluluk için aracının sürümü.
Geliştirici Davet Ediyor
ConvoC2, gelişen siber tehdit ortamının hayati bir hatırlatıcısı olarak hizmet ediyor. Saldırganlar, Microsoft Teams gibi güvenilir bir işbirliği platformundan yararlanarak, kötü amaçlı operasyonlar gerçekleştirirken benzeri görülmemiş bir gizlilik elde edebilir. Kuruluşlara şu çağrılar yapılıyor:
- Microsoft Teams ortamlarının izlenmesini geliştirin.
- Olağandışı kalıplar açısından sunucu ve günlük etkinliğini düzenli olarak denetleyin.
- Teams günlüklerini inceleyebilen uç nokta algılama ve yanıt (EDR) araçları gibi savunma önlemlerini uygulayın.
Geliştirici siber güvenlik topluluğunu davet ediyor iyileştirmelere katkıda bulunmak projeye ekleyin veya potansiyel hataları belirleyin. Araştırmacılar ve mühendisler, ConvoC2 GitHub deposu aracılığıyla çekme isteklerini gönderebilirler.
Toplumla işbirliği, güvenlik açıklarının belirlenmesi ve savunmaların güçlendirilmesi açısından temel taşı olmaya devam ediyor. Dikkatli olun ve kuruluşunuzun ConvoC2 gibi ortaya çıkan tehditlere karşı hazırlıklı olduğundan emin olun.
2024 MITRE ATT&CK Değerlendirme Sonuçları: YALNIZCA Cynet %100 Tespit ve Koruma Sağlıyor – Ücretsiz Kılavuzu İndirin