為了利用合法流量掩護(hù)非法,黑客濫用云計(jì)算服務(wù)架設(shè)命令與控制(C2)服務(wù)器的情況相當(dāng)常見(jiàn)����,其中最常見(jiàn)的是利用Google Drive、OneDrive�、Dropbox等文件共享服務(wù),也有濫用能夠挾帶命令內(nèi)容的文本共享服務(wù)的情況��。但如今�,線上的行程表服務(wù)也成為黑客濫用的標(biāo)的。
為了利用合法流量掩護(hù)非法�,黑客濫用云計(jì)算服務(wù)架設(shè)命令與控制(C2)服務(wù)器的情況相當(dāng)常見(jiàn),其中最常見(jiàn)的是利用Google Drive�、OneDrive����、Dropbox等文件共享服務(wù)�,也有濫用能夠挾帶命令內(nèi)容的文本共享服務(wù)的情況。但如今�����,線上的行程表服務(wù)也成為黑客濫用的標(biāo)的��。
Google于近期發(fā)布的第8份威脅視野報(bào)告(Threat Horizons report)其中�����,披露從今年6月出現(xiàn)的惡意程序Google Calendar RAT(GCR)�,開(kāi)發(fā)者表明他所打造的腳本�����,能夠?qū)oogle Calendar的事件描述轉(zhuǎn)換成C2加以濫用�,該公司旗下Mandiant威脅情報(bào)團(tuán)隊(duì)發(fā)現(xiàn),這種隱秘的手法引起網(wǎng)絡(luò)犯罪圈高度關(guān)注�����,雖然上述工具尚未被用于攻擊行動(dòng),但已有許多黑客于地下論壇分享這種概念性驗(yàn)證攻擊(PoC)程序�。
為了映證做法可行,這名開(kāi)發(fā)者通過(guò)視頻展示攻擊手法��,他利用兩個(gè)Google賬號(hào)來(lái)控制���、操作GCR�����。其中一個(gè)是GCP的服務(wù)賬號(hào)�,其中包含用于回應(yīng)API的密鑰���,用途是當(dāng)作Beacon����;另一個(gè)則是Gmail攻擊賬號(hào)����,攻擊者將其用于與行程表服務(wù)進(jìn)行互動(dòng)。
研究人員指出�,攻擊者若在受害計(jì)算機(jī)執(zhí)行GCR,該程序會(huì)定期從Google Calendar拉取事件描述�,從而執(zhí)行其中的命令�����,然后再以執(zhí)行輸出的結(jié)果更新事件描述內(nèi)容���。由于過(guò)程中都使用Google的基礎(chǔ)設(shè)施,導(dǎo)致防守方要發(fā)現(xiàn)異?�;顒?dòng)更加困難��。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
