GTRS - Google Translator Reverse Shell to aplikacja typu klient-serwer wykorzystująca Google Translator jako serwer proxy do wysyłania dowolnych poleceń do zainfekowanego komputera. Dlaczego wspominamy o tym narzędziu? Teraz każdy "deweloper" złośliwego oprogramowania może wykorzystać skrypty do napisania własnego malware’u, który będzie komunikował się z domeną od Google, tj. translate.google.com.

[INFECTED MACHINE] ==HTTPS==> [GOOGLE TRANSLATE] ==HTTP==> [C2]

Można to wykorzystać do oszukania ochrony, jednakże nie zapominajmy, że obecne rozwiązania są już tak zaawansowane, że mienią się prawdziwymi kombajnami typu SIEM. Wystarczy dobrze wybrać i skonfigurować pakiet, aby nie mieć problemów z zagrożeniami.

Działanie skryptu, a właściwie komunikacji, zostało pokazane na tym wideo.

Atakujący po dostarczeniu złośliwego pliku do systemu będzie mógł uzyskać dostęp do zainfekowanego urządzenia. W pierwotnej wersji aplikacji zadziała na Linuksie i na macOS, ale po przepisaniu do innego języka lub zautomatyzowaniu zainstalowania WSL w Windows 10, można też uzyskać dostęp do powłoki bash na Linuksie w Windows 10. Szczegóły o tej technice ataku, a właściwie szkodliwym oprogramowaniu typu bashware, są dostępne pod tym linkiem.

Autor malware musi pamiętać, że Google Translator obsługuje ograniczoną ilość znaków w jednym zapytaniu.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz