Злоупотребление веб-хуками — для C2 (Command and Control)

Злоупотребление веб-хуками - для Command and Control

Хакер проник за периметр. Разумеется, он хочет провести эксфильтрацию, скачать утилиту или выполнить команду на своем C2-сервере. Но вот проблема: в каждом из этих случаев ему необходимо установить с C2-сервером связь, а такая возможность заблокирована. Генерируемый хакером DNS-трафик и ICMP-трафик мониторятся. Доступа к облачным хранилищам нет. Конечно, злоумышленнику удалось доставить внутрь периметра фронтенд-компонент своей хакерской утилиты, но в результате он видит, что она не может преодолеть заслон контентного прокси-сервера, который контролирует доступ к внешним сайтам.

Еще по теме: Обход XSS-блокираторов посредством скрипт-гаджетов

Многим взломщикам доводилось бывать в такой переделке, и выпутаться из нее помогают альтернативные способы наладить исходящее подключение к сети. В докладе представлена техника налаживания такой связи посредством HTTP-колбэков: эксплуатация списка «доверенных сайтов» для содействия в работе с внешним C2-сервером через веб-хуки.

Злоупотребление веб-хуками - для C2

Докладчик кратко рассказывает, что такое веб-хуки и как их использовать. Затем он объясняет, как можно приспособить «одобренные сайты» в качестве посредника для C2-коммуникации, передавать данные, отдавать асинхронные команды в режиме реального времени. И все это в обход контентных прокси, без лишних цифровых следов! Под конец докладчик демонстрирует авторский инструмент, который автоматизирует описанные в докладе техники.

Полная версия доклада: Abusing Webhooks for Command and Control

Еще по теме: Исследование безопасности Electron

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *