Kırmızı takım oluşturma alanında, Microsoft Teams aracılığıyla güvenliği ihlal edilmiş ana bilgisayarlarda sistem komutlarını yürütmek için karmaşık bir yöntem sunan çığır açan bir araç ortaya çıktı.
ConvoC2 olarak bilinen bu yenilikçi Komuta ve Kontrol (C2) altyapısı, verilere sızmak ve verileri çıkarmak için popüler işbirliği platformundan yararlanarak mavi ekipler için algılamayı önemli ölçüde zorlaştırıyor.
convoC2 aracı, komutları Microsoft Teams mesajları içindeki gizli yayılma etiketlerine yerleştirerek çalışır.
Bu komutlar daha sonra güvenliği ihlal edilmiş ana bilgisayarda yürütülür ve çıktı, Uyarlanabilir Kartlar resim URL’lerinde akıllıca gizlenir. Bu, C2 sunucusuna yönelik sınır dışı istekleri tetikleyerek etkili bir şekilde gizli bir iletişim kanalı oluşturur.
Bu aracı özellikle gizli yapan şey, saldırgan ile kurban arasında doğrudan iletişimin olmamasıdır.
Güvenlik analisti Fabio Cinicolo (cxntur0n), kurbandan gelen tüm HTTP isteklerinin yalnızca Microsoft sunucularına gönderildiğini ve çoğu antivirüs çözümünün Microsoft Teams günlük dosyalarını incelemediğinden, kötü amaçlı etkinliklerin genellikle fark edilmediğini gözlemledi.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Technica Analizi
- Platformlar Arası Uyumluluk: Aracın hem Windows 11’deki yeni Teams sürümünde hem de Windows 10’daki eski Teams sürümünde çalıştığı gösterilmiştir.
- Harici Kuruluş Saldırısı: Özellikle saldırganın kurbanla aynı kuruluşta olması gerekmiyor, bu da potansiyel erişimini genişletiyor.
- Önleyici Komutun Yürütülmesi: Kurban harici bir saldırgandan gelen sohbeti kabul etmemiş veya görselleştirmemiş olsa bile, günlük dosyasındaki mesajların önbelleğe alınması nedeniyle komutlar alınmaya ve yürütülmeye devam eder.
.webp)
convoC2 altyapısı iki ana bileşenden oluşur: bir sunucu ve bir aracı. Herkese açık bir ana bilgisayar üzerinde kolayca kurulabilen sunucu, C2 işlemlerini yönetir.
Kurbanın makinesine konuşlandırılan aracı, Teams günlük dosyasıyla etkileşime giriyor ve alınan komutları yürütüyor.
Bu aracı kullanmak için kırmızı takım üyelerinin şunları yapması gerekir: –
- İş Akışı Gelen Web Kancası ile Teams kanalı oluşturma
- Gerekli kimlikleri ve kimlik doğrulama jetonlarını alın
- Kurbanın ana bilgisayarının Teams’i çalıştırdığından emin olun (arka planda bile)
Bu araç, kırmızı takım yeteneklerinde önemli bir ilerlemeyi temsil etse de, yalnızca yetkili, etik korsanlık senaryolarında kullanılması gerektiğini vurgulamak çok önemlidir.
Kötüye kullanım potansiyeli, sağlam güvenlik önlemlerinin ve Microsoft Teams gibi işbirliği platformlarının sürekli izlenmesinin önemini vurgulamaktadır.
convoC2 aracı, güvenilir platformların bile karmaşık saldırılar için vektör haline gelebildiği, gelişen siber güvenlik ortamına örnek teşkil ediyor.
Kırmızı takımlar bu kadar gelişmiş teknikleri benimserken, mavi takımlar da tetikte kalmalı, tespit ve önleme stratejilerini ortaya çıkan bu tehditlere karşı uyarlayacak şekilde uyarlamalıdır.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses