Une nouvelle méthode d’évasion de commande et de contrôle (C2) post-exploitation appelée abus des « appels fantômes » TRANSFORME les serveurs utilisés par les applications de conférence comme Zoom et Microsoft Teams en tunnel de trafic via une infrastructure de confiance.
Ghost Calls utilise des informations d’identification légitimes, WebRTC et des outils personnalisés pour contourner la plupart des défenses existantes et des mesures anti-abus, sans s’appuyer sur un exploit.
Cette nouvelle tactique a été présentée par Adam Crosser, chercheur en sécurité chez Praetorian à BlackHat USA, où il a été souligné que la nouvelle technique peut être utilisée par les équipes Rouges lors d’exercices d’émulation de pénétration.
« Nous tirons parti des protocoles de conférence Web, qui sont conçus pour une communication en temps réel à faible latence et fonctionnent via des serveurs multimédias répartis dans le monde entier qui fonctionnent comme des relais de trafic naturels », indique le briefing de la présentation.
« Cette approche permet aux opérateurs de mélanger les sessions interactives C2 dans les modèles de trafic d’entreprise normaux, apparaissant comme rien de plus qu’une réunion en ligne temporairement rejointe. »
Comment fonctionne les Appels fantômes
TURN (Traversée à l’aide de relais autour de NAT) est un protocole réseau couramment utilisé par les services d’appel vidéo, VoIP et WebRTC qui aide les périphériques derrière les pare-feu NAT à communiquer entre eux lorsqu’une connexion directe n’est pas possible.
Lorsqu’un client Zoom ou Teams rejoint une réunion, il reçoit des informations d’identification temporaires que les appels fantômes peuvent détourner pour configurer un tunnel WebRTC au TOUR par TOUR entre l’attaquant et la victime.
Ce tunnel peut ensuite être utilisé pour proxy des données arbitraires ou déguiser le trafic C2 en trafic de visioconférence régulier via une infrastructure de confiance utilisée par Zoom ou Teams.
Comme le trafic est acheminé via des domaines légitimes et des adresses IP largement utilisées dans l’entreprise, le trafic malveillant peut contourner les pare-feu, les proxys et l’inspection TLS. De plus, le trafic WebRTC est crypté, il est donc bien caché.
En abusant de ces outils, les attaquants évitent également d’exposer leurs propres domaines et infrastructures tout en bénéficiant d’une connectivité fiable et performante et de l’adaptabilité de l’utilisation d’UDP et de TCP sur le port 443.
En comparaison, les mécanismes C2 traditionnels sont lents, visibles et manquent souvent des capacités d’échange en temps réel requises pour faciliter les opérations VNC.
Tournez-le
Les recherches de Crosser ont abouti au développement d’un utilitaire personnalisé open source (disponible sur GitHub) appelé « TURNt » qui peut être utilisé pour tunneler le trafic C2 via les serveurs WebRTC TURN fournis par Zoom et Teams.
TURNt se compose de deux composants, à savoir un contrôleur fonctionnant du côté de l’attaquant et un relais déployé sur un hôte compromis.
Le contrôleur exécute un serveur proxy SOCKS pour accepter les connexions tunnelées via TURN. Relay se reconnecte au contrôleur à l’aide des informations d’identification TURN et configure un canal de données WebRTC via le serveur TURN du fournisseur.
TURNt peut effectuer le proxy SOCKS, la redirection de port local ou distant, l’exfiltration de données et faciliter le tunneling du trafic VNC (Virtual Network Computing) caché.
Bien que Ghost Calls n’exploite aucune vulnérabilité dans Zoom ou Microsoft Teams, Breachtrace a contacté les deux fournisseurs pour leur demander s’ils prévoyaient d’introduire des garanties supplémentaires pour réduire sa faisabilité. Nous mettrons à jour ce message une fois que nous recevrons une réponse de l’un ou l’autre.