Hogyan működik a Ghost Calls?
A Ghost Calls az úgynevezett TURN (Traversal Using Relays around NAT) szervereket használja ki. Ezeket a szervereket a Zoom és a Teams is alkalmazza, hogy a tűzfalak mögötti eszközök stabilan tudjanak kommunikálni. Amikor egy felhasználó csatlakozik egy megbeszéléshez, ideiglenes TURN hitelesítő adatokat kap – a hackerek ezeket veszik át, majd egy WebRTC-alapú, titkosított adatfolyamot hoznak létre köztük és az áldozatuk között.
Ennek segítségével bármilyen adatot képesek továbbítani, vagy a C2 forgalmat is képesek elrejteni a normál videókonferencia-szolgáltatások forgalmában. A forgalom a megbízhatónak tekintett Zoom vagy Teams rendszeren keresztül halad, ezért a legtöbb tűzfal, proxy és TLS-vizsgálat semmit sem vesz észre. A támadók ráadásul nem fedik fel saját IP-címüket vagy szervereiket, hanem mindent a szolgáltatón keresztül intéznek, gyors és rugalmas kapcsolatot élvezve – ráadásul a 443-as porton UDP és TCP protokollal is működhetnek. Mindez sokkal gyorsabb, megbízhatóbb és nehezebben észlelhető, mint a szokásos C2 trükkök.
TURNt: az új nyílt forráskódú eszköz
Adam Crosser kutató egy nyílt forráskódú eszközt is bemutatott, TURNt néven. Ez két komponensből áll: a Controller a támadó gépén fut és SOCKS proxyt indít, míg a Relay a kompromittált gépre kerül, és a szolgáltatók TURN szerverein keresztül hoz létre adatcsatornát a Controllerrel.
A TURNt segítségével nemcsak proxyszolgáltatást és porttovábbítást lehet megvalósítani, hanem adatlopást és rejtett VNC-kapcsolatot is. Bár a Ghost Calls módszer nem használ ki konkrét Zoom vagy Teams biztonsági rést, a szolgáltatók már dolgoznak a lehetséges szigorításokon. A Zoom például olyan frissítést vezetett be, amely tiltja a peer-to-peer kapcsolatokat a TURN infrastruktúrán belül, így csak a kliens és a központi médiaszerver párosítható. Azonban ahol a rendszer közvetlen p2p kapcsolatokat is engedélyez, ott a kockázat megmarad.
