Görüşme trafiği kılıfında saldırı
Praetorian araştırmacısı Adam Crosser, “Ghost Calls” yöntemini BlackHat USA’da sundu. Bu teknik, Zoom ve Teams gibi konferans uygulamalarında kullanılan TURN protokolünü kullanarak saldırganların kurban sistem ile kendi altyapıları arasında WebRTC tüneli açmasına olanak sağlıyor.

Nasıl çalışıyor
Bir kullanıcı Zoom ya da Teams toplantısına katıldığında, geçici TURN kimlik bilgileri alıyor. Ghost Calls, bu kimlik bilgilerini kötüye kullanarak saldırgan ile hedef sistem arasında şifrelenmiş bir WebRTC tüneli kuruyor. Bu tünel, saldırı trafiğini normal konferans trafiği gibi gösterdiği için güvenlik duvarları, proxy’ler ve TLS denetimleri tarafından fark edilmiyor.

Yeni araç: TURNt
Crosser, “TURNt” adlı açık kaynak bir araç geliştirdi. Bu araç, saldırgan tarafında bir Controller (SOCKS proxy sunucusu) ve kurban sistemde çalışan bir Relay bileşeninden oluşuyor. TURN sunucuları üzerinden C2 trafiğini tünelleyebilen TURNt, SOCKS proxying, port yönlendirme, veri sızdırma ve gizli VNC bağlantılarına imkân sağlıyor.

Zoom’dan ilk önlem
Zoom, BleepingComputer’a yaptığı açıklamada, Ghost Calls’a karşı TURN altyapısının yalnızca medya sunucularla eşleşmeye izin verecek şekilde güncellendiğini ve peer-to-peer bağlantıların engellendiğini duyurdu. Microsoft’un ek önlem planlarına dair ise henüz bir bilgi bulunmuyor.

Tehditin önemi
Ghost Calls, herhangi bir sıfır gün zafiyetine ihtiyaç duymadan, tamamen mevcut protokollerin doğasından yararlanıyor. Uzmanlara göre bu tür yöntemler, saldırganlara hem performans hem de anonimlik sağlıyor ve geleneksel C2 yöntemlerine göre daha gizli ilerliyor.

Kaynak: CUMHA – CUMHUR HABER AJANSI