据报道,黑客找到了一种使用Google 日历作为命令和控制 (C2) 基础设施的方法,这可能会给网络安全社区带来不少麻烦。
如今,网络犯罪分子面临的更大挑战之一是如何让受感染端点上的恶意软件执行他们想要执行的命令。
为此,他们需要 C2 基础设施,通常是受损的服务器,但问题是安全专业人员很快就会发现诡计并终止连接。但如果 C2 基础设施利用合法资源(例如Google日历),网络安全专业人员将更难检测到攻击并终止连接。
通过日历读取命令
现在,谷歌警告更广泛的安全社区,此类事件的概念验证(PoC)漏洞正在暗网中流传。该 PoC 被称为“Google Calendar RAT”(GCR),根据构建它的人(别名 MrSaighnal)的说法,该脚本将通过利用日历中的事件描述来创建一个“隐蔽通道”。
“目标将直接连接到谷歌。”
谷歌解释说,当设备感染 GCR 时,它将定期轮询日历事件描述以查找新命令并在设备上运行它们。然后,它将使用新的命令输出更新事件描述。
到目前为止,尚未发现黑客在野外滥用 GCR,但对于此类事情,这只是时间问题。
黑客越来越多地使用合法的云服务来传播恶意软件。例如,Google Docs 具有共享功能,允许用户在文档中输入电子邮件地址,Google 将通知收件人他们现在可以访问该文件。
据观察,一些威胁行为者创建带有恶意链接的文件,并以这种方式将它们分发到人们的电子邮件收件箱。由于电子邮件来自 Google,因此它们绕过了电子邮件保护服务。
领取专属 10元无门槛券
私享最新 技术干货