Ghost Calls превратил видеозвонки в невидимые хакерские туннели — и никто этого не заметил

На конференции BlackHat USA был представлен новый метод обхода средств обнаружения C2-трафика, получивший название Ghost Calls. Этот способ не использует уязвимости в программном обеспечении, но умело прячется за инфраструктурой доверенных сервисов, таких как Zoom и Microsoft Teams. Он основан на протоколе TURN, предназначенном для организации сетевого взаимодействия в видеозвонках и VoIP-сессиях, когда устройства находятся за NAT или файрволами.

Вместо классических каналов связи, которые легко отслеживаются и блокируются, Ghost Calls позволяет злоумышленникам прокладывать зашифрованные туннели WebRTC через инфраструктуру популярных видеосервисов. Это обеспечивает не только маскировку под легитимный трафик, но и доступ к высокопроизводительным каналам связи, защищённым TLS и встроенной маршрутизацией через глобальные медиа-серверы.

Суть метода — в использовании легальных учётных данных TURN, автоматически выдаваемых Zoom или Teams во время подключения к видеовстрече. С их помощью атакующий создаёт WebRTC-туннель между собой и заражённой машиной. Визуально такой канал выглядит как обыкновенное участие в видеозвонке, что затрудняет его детектирование даже на уровне корпоративных средств мониторинга.

Сам протокол TURN (Traversal Using Relays around NAT) давно и активно используется для организации связи в условиях, когда прямое соединение невозможно. Ghost Calls встраивается в его механизм, перехватывая временные учётные данные, и на их основе строит двусторонний канал связи.

Для работы Ghost Calls используется инструмент TURNt — набор из двух компонентов с открытым исходным кодом. Controller запускается на стороне атакующего и поднимает SOCKS-прокси-сервер, через который идёт трафик. Relay запускается на заражённом хосте и подключается к Controller с использованием учётных данных TURN, выданных Teams или Zoom. Через этот туннель передаётся как C2-трафик, так и команды на удалённое управление, включая проксирование портов, скрытую передачу файлов и даже удалённый VNC-доступ.

В отличие от классических каналов C2, которые часто работают медленно, подвержены обнаружению и не предназначены для интерактивной работы, Ghost Calls предлагает мгновенную передачу команд, высокую стабильность и практически полную незаметность. Использование протоколов UDP и TCP на 443 порту ещё больше снижает риск обнаружения — вся активность выглядит как обычный трафик видеосвязи.

Особо подчёркивается, что ни Zoom, ни Microsoft Teams в данной схеме не взламываются. Они лишь предоставляют необходимую инфраструктуру и учётные данные, которые злоумышленники перенаправляют для своих целей. Это позволяет полностью скрыть собственную инфраструктуру, маскируясь под трафик от легитимных сервисов. Такой подход делает Ghost Calls привлекательным не только для пентестеров и Red Team-операторов, но и для более агрессивных сценариев.

Специалисты Praetorian, представившие технологию, утверждают, что Ghost Calls демонстрирует, насколько уязвимыми могут быть даже доверенные каналы связи, если они используются не по назначению. Несмотря на отсутствие прямых уязвимостей, возникновение таких схем требует пересмотра текущих подходов к фильтрации и анализу трафика на уровне корпоративной инфраструктуры.

Пока неясно, планируют ли Zoom и Microsoft внести изменения, которые усложнят реализацию подобных схем. Однако сам факт того, что туннелирование происходит через доверенные домены и IP-адреса, значительно затрудняет разработку защитных мер без риска ложных срабатываний.