Una nueva técnica de ataque sofisticada llamada “llamadas fantasmas” explota plataformas de conferencia web para establecer canales de comando y control encubierto (C2).
Presentado por Adam Crosser de Praetorian en Black Hat USA 2025, esta innovadora investigación demuestra cómo los atacantes pueden aprovechar el protocolo de giro y la infraestructura de conferencia legítima para evitar medidas de seguridad de la red.
Control de llave
1. Herramienta Turnt Explota el protocolo de giro de Zoom/Equips/Meet para crear canales de comando y control ocultos.
2. Utiliza puertos y beneficios de conferencia legítimos de exenciones de inspección TLS corporativa
3. El tráfico cifrado parece idéntico a las videollamadas normales, derrotando el monitoreo de la red tradicional
El ataque utiliza una herramienta recientemente desarrollada llamada Turnt (Tunneler de giro), que abusa del protocolo de giro (transversal utilizando relés alrededor de NAT) comúnmente utilizado por aplicaciones de conferencia web.
Gire los servidores, esenciales para las comunicaciones de WEBRTC, habiliten conexiones entre pares a través de firewalls y dispositivos NAT.
La herramienta se dirige explícitamente a las plataformas principales, incluidas Zoom (55.91%de participación de mercado), equipos de Microsoft (32.29%) y Google se encuentran (5.52%).
Turnt opera obteniendo credenciales de giro de las sesiones de conferencias web legítimas, que generalmente siguen siendo válidas durante varios días. Estas credenciales usan el formato:
El ataque aprovecha los puertos estándar como 443/TCP para conexiones TLS y 8801/UDP para el tráfico de medios, lo que hace que la detección sea extremadamente desafiante a medida que este tráfico parece idéntico a la videoconferencia legítima.
Lo que hace que las llamadas de fantasmas sean particularmente insidiosas es cómo explota las recomendaciones de seguridad de los propios proveedores de conferencias, lee el presentación.
Tanto los equipos de Zoom como Microsoft recomiendan oficialmente configuraciones de VPN y exenciones de la inspección de TLS para optimizar el rendimiento.
Zoom de escritorio de escritorio intentos
La documentación de Microsoft establece explícitamente: “Recomendamos que los equipos de tráfico eviten la infraestructura del servidor proxy, incluida la inspección SSL”.
El ataque admite múltiples modos de comunicación, incluidos los calcetines, el reenvío de puertos locales y remotos, y puede establecer conexiones a través de WebSockets a través de HTTPS, canales cifrados DTLS-SRTP y protocolos personalizados a través de TCP/443 y UDP/8801.
El análisis de tráfico de red revela procesos estándar de apretón de manos WEBRTC con cifrado DTLS, lo que hace que el tráfico malicioso sea indistinguible de los datos de conferencias legítimas.
Mitigaciones
Los expertos en seguridad advierten que los enfoques tradicionales de monitoreo de redes son ineficaces contra los ataques de llamadas fantasmas.
La investigación enfatiza que el enfoque en la correlación del volumen de tráfico o el mapeo de procesos a destino producen altas tasas falsas positivas debido a la naturaleza legítima de los protocolos subyacentes.
En cambio, los defensores deben implementar tokens canarios para detectar actividades de enumeración temprana y centrarse en identificar herramientas ofensivas proxias como Impacket o SecretSdump.py en lugar de monitorear el canal de comunicación en sí.
La sofisticación del ataque radica en su capacidad para combinarse perfectamente con los patrones de tráfico aprobados por la empresa, por lo que es una preocupación significativa para los profesionales de la ciberseguridad.
La herramienta Turnt se ha lanzado como software de código abierto, lo que permite a los investigadores de seguridad comprender mejor y desarrollar contramedidas contra este vector de amenaza emergente.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
