Ghost Calls превратил видеозвонки в невидимые хакерские туннели — и никто этого не заметил

На конференции BlackHat USA был представлен новый метод обхода средств обнаружения C2-трафика, получивший название Ghost Calls. Этот способ не использует уязвимости в программном обеспечении, но умело прячется за инфраструктурой доверенных сервисов, таких как Zoom и Microsoft Teams . Он основан на протоколе TURN, предназначенном для организации сетевого взаимодействия в видеозвонках и VoIP-сессиях, когда устройства находятся за NAT или файрволами.

Вместо классических каналов связи, которые легко отслеживаются и блокируются, Ghost Calls позволяет злоумышленникам прокладывать зашифрованные туннели WebRTC через инфраструктуру популярных видеосервисов. Это обеспечивает не только маскировку под легитимный трафик, но и доступ к высокопроизводительным каналам связи, защищённым TLS и встроенной маршрутизацией через глобальные медиа-серверы.

Суть метода — в использовании легальных учётных данных TURN, автоматически выдаваемых Zoom или Teams во время подключения к видеовстрече. С их помощью атакующий создаёт WebRTC-туннель между собой и заражённой машиной. Визуально такой канал выглядит как обыкновенное участие в видеозвонке, что затрудняет его детектирование даже на уровне корпоративных средств мониторинга.

Сам протокол TURN (Traversal Using Relays around NAT) давно и активно используется для организации связи в условиях, когда прямое соединение невозможно. Ghost Calls встраивается в его механизм, перехватывая временные учётные данные, и на их основе строит двусторонний канал связи.

Для работы Ghost Calls используется инструмент TURNt — набор из двух компонентов с открытым исходным кодом. Controller запускается на стороне атакующего и поднимает SOCKS-прокси-сервер, через который идёт трафик. Relay запускается на заражённом хосте и подключается к Controller с использованием учётных данных TURN, выданных Teams или Zoom. Через этот туннель передаётся как C2-трафик, так и команды на удалённое управление, включая проксирование портов, скрытую передачу файлов и даже удалённый VNC-доступ.

В отличие от классических каналов C2, которые часто работают медленно, подвержены обнаружению и не предназначены для интерактивной работы, Ghost Calls предлагает мгновенную передачу команд, высокую стабильность и практически полную незаметность. Использование протоколов UDP и TCP на 443 порту ещё больше снижает риск обнаружения — вся активность выглядит как обычный трафик видеосвязи.

Особо подчёркивается, что ни Zoom, ни Microsoft Teams в данной схеме не взламываются. Они лишь предоставляют необходимую инфраструктуру и учётные данные, которые злоумышленники перенаправляют для своих целей. Это позволяет полностью скрыть собственную инфраструктуру, маскируясь под трафик от легитимных сервисов. Такой подход делает Ghost Calls привлекательным не только для пентестеров и Red Team-операторов, но и для более агрессивных сценариев.

Специалисты Praetorian, представившие технологию, утверждают , что Ghost Calls демонстрирует, насколько уязвимыми могут быть даже доверенные каналы связи, если они используются не по назначению. Несмотря на отсутствие прямых уязвимостей, возникновение таких схем требует пересмотра текущих подходов к фильтрации и анализу трафика на уровне корпоративной инфраструктуры.

Пока неясно, планируют ли Zoom и Microsoft внести изменения, которые усложнят реализацию подобных схем. Однако сам факт того, что туннелирование происходит через доверенные домены и IP-адреса, значительно затрудняет разработку защитных мер без риска ложных срабатываний.