一种名为 “幽灵呼叫”(Ghost Calls)的复杂新攻击技术利用网络会议平台建立隐蔽的指挥与控制(C2)通道。
Praetorian 公司的 Adam Crosser 在 2025 年美国黑帽大会上介绍了这一突破性研究,展示了攻击者如何利用 TURN 协议和合法会议基础设施绕过网络安全措施。
关键要点
- TURNt 工具利用 Zoom/Teams/Meet 的 TURN 协议创建隐藏的命令和控制通道。
- 使用合法的会议端口,并享有企业 TLS 检查豁免权
- 加密流量看起来与正常视频通话完全相同,从而绕过了传统的网络监控。
TURNt 工具破坏网络会议基础设施
该攻击利用了一种新开发的名为 TURNt(TURN tunneler)的工具,它滥用了网络会议应用程序常用的 TURN 协议。
TURN 服务器对于 WebRTC 通信至关重要,它可以通过防火墙和 NAT 设备实现点对点连接。
该工具明确针对主要平台,包括 Zoom(55.91% 的市场份额)、Microsoft Teams(32.29%)和 Google Meet(5.52%)。
TURNt 通过从合法的网络会议会话中获取 TURN 凭证来运行,这些凭证通常有效期为几天。这些凭证使用以下格式:
这种攻击利用标准端口(如用于 TLS 连接的 443/TCP 端口和用于媒体流量的 8801/UDP)进行检测,,由于这种流量看起来与合法的视频会议完全相同,因此检测难度极大。
演示文稿中写道,“Ghost Calls”之所以特别阴险,是因为它利用了会议提供商自身的安全建议。
Zoom 和 Microsoft Teams 官方都建议使用分路隧道 VPN 配置和 TLS 检查豁免,以优化性能。
微软的文档明确指出:“我们建议 Teams 流量绕过代理服务器基础设施,包括 SSL 检查。”
该攻击支持多种通信模式,包括 SOCKS 代理、本地和远程端口转发,并且可以通过 HTTPS 上的 WebSockets、DTLS-SRTP 加密通道以及 TCP/443 和 UDP/8801 上的自定义协议建立连接。
网络流量分析揭示了带有 DTLS 加密的标准 WebRTC 握手过程,使得恶意流量与合法会议数据无法区分。
缓解措施
安全专家警告称,传统的网络监控方法对 Ghost Calls 攻击无效。
研究强调,由于底层协议的合法性,关注流量相关性或流程到目的地映射会产生较高的误报率。
相反,防御者应该实施金丝雀令牌来检测早期枚举活动,并专注于识别代理攻击工具(如 Impacket 或 secretsdump.py),而不是监控通信渠道本身。
此次攻击的复杂性在于它能够与企业认可的流量模式无缝融合,这使其成为网络安全专业人员关注的重大问题。
TURNt 工具已作为开源软件发布,使安全研究人员能够更好地理解和制定针对这一新兴威胁载体的对策。
内容源自:https://cybersecuritynews.com/ghost-calls-attack/
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/60470.html
