為了利用合法流量掩護非法�,黑客濫用云計算服務(wù)架設(shè)命令與控制(C2)服務(wù)器的情況相當(dāng)常見���,其中最常見的是利用Google Drive���、OneDrive����、Dropbox等文件共享服務(wù),也有濫用能夠挾帶命令內(nèi)容的文本共享服務(wù)的情況�����。但如今���,線上的行程表服務(wù)也成為黑客濫用的標(biāo)的����。
為了利用合法流量掩護非法,黑客濫用云計算服務(wù)架設(shè)命令與控制(C2)服務(wù)器的情況相當(dāng)常見���,其中最常見的是利用Google Drive�、OneDrive�����、Dropbox等文件共享服務(wù)�����,也有濫用能夠挾帶命令內(nèi)容的文本共享服務(wù)的情況�。但如今,線上的行程表服務(wù)也成為黑客濫用的標(biāo)的���。
Google于近期發(fā)布的第8份威脅視野報告(Threat Horizons report)其中��,披露從今年6月出現(xiàn)的惡意程序Google Calendar RAT(GCR)���,開發(fā)者表明他所打造的腳本,能夠?qū)oogle Calendar的事件描述轉(zhuǎn)換成C2加以濫用,該公司旗下Mandiant威脅情報團隊發(fā)現(xiàn)�,這種隱秘的手法引起網(wǎng)絡(luò)犯罪圈高度關(guān)注,雖然上述工具尚未被用于攻擊行動���,但已有許多黑客于地下論壇分享這種概念性驗證攻擊(PoC)程序���。
為了映證做法可行,這名開發(fā)者通過視頻展示攻擊手法�����,他利用兩個Google賬號來控制��、操作GCR��。其中一個是GCP的服務(wù)賬號��,其中包含用于回應(yīng)API的密鑰����,用途是當(dāng)作Beacon�����;另一個則是Gmail攻擊賬號,攻擊者將其用于與行程表服務(wù)進行互動����。
研究人員指出,攻擊者若在受害計算機執(zhí)行GCR���,該程序會定期從Google Calendar拉取事件描述����,從而執(zhí)行其中的命令����,然后再以執(zhí)行輸出的結(jié)果更新事件描述內(nèi)容。由于過程中都使用Google的基礎(chǔ)設(shè)施�����,導(dǎo)致防守方要發(fā)現(xiàn)異?��;顒痈永щy��。
閩公網(wǎng)安備 35010202001226號
