Ghost Calls: Yeni Komut ve Kontrol Evasyon Yöntemi
Günümüzde siber güvenlik alanında sürekli gelişmeler yaşanmaktadır. Ghost Calls, videokonferans uygulamaları olan Zoom ve Microsoft Teams gibi platformların TURN sunucularını kötüye kullanarak trafik tünelleme yöntemini geliştiren yeni bir post-exploitation komut ve kontrol (C2) evasiyon yöntemidir. Bu yöntem sayesinde saldırganlar, mevcut savunma sistemlerini aşarak istedikleri bilgilere ulaşabilirler.
Ghost Calls İşleyişi
TURN (Traversal Using Relays around NAT), video görüşme, VoIP ve WebRTC hizmetleri tarafından yaygın olarak kullanılan bir ağ protokolüdür. NAT güvenlik duvarlarının arkasındaki cihazların birbirleriyle iletişim kurmasına yardımcı olur. Ghost Calls yöntemi, bir Zoom veya Teams istemcisi bir toplantıya katıldığında aldığı geçici TURN kimlik bilgilerini ele geçirerek, saldırgan ile kurban arasında TURN tabanlı bir WebRTC tüneli kurmayı içerir.
Bu tünel, kötü niyetli verilerin proxy’sini yapmak veya C2 trafiğini güvenilir altyapı üzerinden normal video konferans trafiği olarak gizlemek için kullanılabilir. Var olan altyapı üzerinde meşru alan adları ve IP’ler üzerinden yönlendirilen trafik, güvenlik duvarlarını, proxy’leri ve TLS denetimini kolaylıkla aşabilir. Ayrıca WebRTC trafiği şifrelenmiş olduğundan, gizliliği sağlanmış olur.
Ghost Calls Yönteminin Avantajları
Ghost Calls ile yapılan saldırılar, geleneksel C2 yöntemlerine göre daha hızlı, daha az fark edilir ve gerçek zamanlı veri değişiminde daha yeteneklidir. Performans, güvenilirlik ve her iki protokol olan UDP ile TCP üzerinden 443 numaralı portun kullanılması gibi avantajlar sunar. Bu sayede saldırganlar, meta verileri gizleyerek, kendi alan adlarını ve altyapılarını teşhir etmeden hedeflerine ulaşabilirler.
TURNt: Özelleştirilmiş Araç
Saldırı metodunu geliştiren Praetorian güvenlik araştırmacısı Adam Crosser, bu araştırmayı bir adım daha ileri götürerek, Ghost Calls yöntemi için bir açık kaynak aracı olan TURNt‘yi geliştirmiştir. TURNt, iki bileşenden oluşmaktadır: birincisi saldırganın tarafında çalışan Kontrolcü, ikincisi ise ele geçirilmiş bir host üzerinde çalışan Ileticidir.
Kontrolcü, TURN üzerinden tünellenmiş bağlantıları kabul eden bir SOCKS proxy sunucusu işletir. Iletici, TURN kimlik bilgilerini kullanarak Kontrolcü’ye bağlanır ve sağlayıcının TURN sunucusu üzerinden bir WebRTC veri kanalı kurar. TURNt, SOCKS proxy’leme, yerel veya uzak port yönlendirmesi, veri sızdırma ve gizli VNC (Virtual Network Computing) trafik tünelleme işlemlerini gerçekleştirebilir.
Geleneksel C2 Yöntemleri ile Karşılaştırma
Ghost Calls yöntemi, ayrıca geleneksel komut ve kontrol mekanizmalarının yavaş, dikkat çekici ve çoğu zaman gerçek zamanlı veri alışverişine olanak tanımadığını gözler önüne serer. Geleneksel yöntemlerdeki zayıflıklar, saldırganların Ghost Calls gibi yenilikçi ve etkili yaklaşımlar benimsemelerine zemin hazırlar.
Yan Etkiler ve Gelecek
Şu an için Ghost Calls yönteminin, Zoom veya Microsoft Teams üzerinde herhangi bir güvenlik açığını kullanmadığı bilinmektedir. Ancak bu durum, platformların yöneticilerini gelecekte ek güvenlik önlemleri almaya teşvik edebilir. BleepingComputer, her iki şirkete de bu konuda ilave güvenlik tedbirleri almayı düşünüp düşünmeyeceklerini sormuştur. Yanıt alındığında, bu bilgiler güncellenerek paylaşılacaktır.
Sonuç olarak,
Ghost Calls, modern siber tehditlerin gelişimini ve savunma sistemlerinin ne kadar zayıf olabileceğini gösteren önemli bir örnektir. WebRTC, TURN protokolleri gibi meşru iletişim araçlarının kötüye kullanılması, siber güvenlik uzmanlarını yeni tehditlere karşı daha ileri düzeyde koruma yöntemleri geliştirmeye zorlamaktadır. İş yerleri, bu tür yenilikçi saldırılara karşı hazırlıklı olmalı ve paralel olarak, yeni güvenlik stratejileri oluşturmalıdır. Bu tür gelişmeler, hem bireysel hem de kurumsal siber güvenlik farkındalığını artırmalıdır.
