“Hayalet Çağrılar” adı verilen sofistike yeni bir saldırı tekniği, gizli komut ve kontrol (C2) kanallarını oluşturmak için web konferans platformlarından yararlanır.
Praetorian’dan Adam Crosser tarafından Black Hat USA 2025’te sunulan bu çığır açan araştırmalar, saldırganların ağ güvenlik önlemlerini atlamak için dönüş protokolünden ve meşru konferans altyapısını nasıl kullanabileceğini gösteriyor.
Key Takeaways
1. TURNt tool exploits the TURN protocol from Zoom/Teams/Meet to create hidden command & control channels.
2. Uses legitimate conferencing ports and benefits from corporate TLS inspection exemptions
3. Encrypted traffic appears identical to normal video calls, defeating traditional network monitoring
Saldırı, web konferans uygulamaları tarafından yaygın olarak kullanılan dönüşü (NAT çevresindeki röleleri kullanarak geçiş) kötüye kullanan Turnt (Turn Tunneler) adlı yeni geliştirilen bir araç kullanıyor.
WebRTC iletişimleri için gerekli olan sunucuları çevirin, güvenlik duvarları ve NAT cihazları aracılığıyla eşler arası bağlantıları etkinleştirin.
Araç, Zoom (%55.91 pazar payı), Microsoft Teams (%32.29) ve Google Meet (%5.52) dahil olmak üzere açıkça önemli platformları hedefliyor.
Turnt, genellikle birkaç gün boyunca geçerli kalan meşru web konferans oturumlarından dönüş kimlik bilgileri alarak çalışır. Bu kimlik bilgileri formatı kullanır:
Saldırı, TLS bağlantıları için 443/TCP ve medya trafiği için 8801/UDP gibi standart bağlantı noktalarından yararlanır ve bu trafik meşru video konferansıyla aynı göründüğü için algılamayı son derece zorlaştırır.
Hayalet çağrılarını özellikle sinsi yapan şey, sunumu okurken, konferans sağlayıcılarının kendilerinden nasıl yararlandığıdır.
Hem Zoom hem de Microsoft ekipleri, performansı optimize etmek için TLS muayenesinden Split-Tunneling VPN yapılandırmalarını ve muafiyetlerini resmen önerir.
Microsoft’un belgeleri açıkça şöyle diyor: “Teams trafiğinin SSL denetimi dahil proxy sunucu altyapısını atlamasını öneriyoruz.”
Saldırı, çorap proxy, yerel ve uzak bağlantı noktası yönlendirme dahil olmak üzere birden fazla iletişim modunu destekler ve HTTPS, DTLS-SRTP şifreli kanallar ve özel protokoller üzerinden WebSoks’lardan hem TCP/443 hem de UDP/8801 üzerinden bağlantılar kurabilir.
Ağ trafik analizi, DTLS şifrelemesi ile standart WebRTC el sıkışma işlemlerini ortaya çıkarır ve kötü amaçlı trafiği meşru konferans verilerinden ayırt edilemez hale getirir.
Hafifletme
Güvenlik uzmanları, geleneksel ağ izleme yaklaşımlarının hayalet çağrıları saldırılarına karşı etkisiz olduğunu kanıtlıyor.
Araştırma, trafik hacmi korelasyonuna veya hizmete geçiş haritalamasına odaklanmanın, temel protokollerin meşru doğası nedeniyle yüksek yanlış pozitif oranlar verdiğini vurgulamaktadır.
Bunun yerine, savunucular erken numaralandırma faaliyetlerini tespit etmek ve iletişim kanalının kendisini izlemek yerine impacket veya Secretsdump.py gibi proxed hücum araçlarını belirlemeye odaklanmalıdır.
Saldırının karmaşıklığı, kurumsal onaylı trafik modelleriyle sorunsuz bir şekilde karışma yeteneğinde yatmaktadır ve bu da siber güvenlik profesyonelleri için önemli bir endişe kaynağıdır.
Turnt aracı, güvenlik araştırmacılarının ortaya çıkan tehdit vektörüne karşı karşı önlemleri daha iyi anlamalarını ve geliştirmelerini sağlayan açık kaynaklı bir yazılım olarak yayınlandı.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın