資安領域在不斷演進，惡意行為者的攻擊手法也日趨精進。在近日舉行的BlackHat USA資安大會上，資安研究員Adam Crosser揭露了一種名為「幽靈通話」（Ghost Calls）的新型攻擊策略，這種技術利用了視訊會議應用程式（如Zoom和Microsoft Teams）的合法基礎設施，建立難以偵測的「命令與控制」（C2）通道，對企業網路安全帶來了新的挑戰。

這項技術的核心是濫用「穿透網路位址轉換（NAT）的繼電器伺服器」（Traversal Using Relays around NAT，簡稱TURN）伺服器。TURN伺服器是WebRTC協議中的一個關鍵組件，其主要功能是協助因防火牆或網路位址轉換（NAT）限制而無法直接建立連線的兩個終端進行通訊。駭客正是利用這一合法機制，劫持臨時性的TURN憑證，建立一個加密的WebRTC隧道。透過這個隧道，駭客可以將惡意的C2流量偽裝成正常的視訊會議流量，在受害者的網路中暢行無阻。

這種攻擊手法的威脅性在於，它完美地利用了企業信任的基礎設施來進行惡意活動。由於C2流量是透過Zoom或Microsoft Teams的合法伺服器和IP位址進行路由，這使得傳統的防火牆、網路代理伺服器和TLS內容檢查工具難以察覺。此外，WebRTC流量本身就經過加密處理，這為駭客提供了一層額外的掩護，使安全團隊難以進行深度流量分析。

「幽靈通話」的優勢不僅在於其隱蔽性，還在於其高效能和可靠的連線品質。透過合法服務商的基礎設施，駭客無需暴露自己的惡意伺服器，同時還能享受到高品質的網路連線，進行資料竊取、指令傳輸等各種惡意活動。為了具體展示這種攻擊的可行性，研究員Adam Crosser開發了一個開源的實用工具「TURNt」，並在GitHub上發布。這個工具由兩部分組成：駭客端的「控制器」（Controller）和受害主機上的「中繼器」（Relay）。「TURNt」能夠用於SOCKS代理、端口轉發、資料外洩，甚至是隱藏VNC流量隧道，其功能之強大令人擔憂。

儘管研究指出這項技術並非利用Zoom或Microsoft Teams本身的軟體漏洞，而是濫用其合法機制，但這種攻擊手法仍凸顯了企業資安防禦體系中可能存在的盲區。面對此類新型攻擊，企業應重新審視其網路流量監控策略，並考慮部署更先進的行為分析工具，以期在駭客活動造成嚴重損害之前，及早發現並阻斷威脅。

資料來源：https://www.bleepingcomputer.com/news/security/new-ghost-calls-tactic-abuses-zoom-and-microsoft-teams-for-c2-operations/