网络安全研究人员发现了一种复杂的新命令和控制框架,该框架利用合法的 Google 日历 API 在攻击者和受感染系统之间建立隐蔽通信渠道。
2025 年 9 月发现的 MeetC2 框架代表了对抗策略的令人担忧的演变,威胁行为者滥用受信任的云服务来绕过传统的安全控制并逃避检测机制。
该框架的运作方式是通过谷歌广泛信任的域(特别是“oauth2.googleapis.com”和“www.googleapis.com”将恶意流量伪装成常规业务通信。
这种方法允许恶意活动与正常组织流量无缝融合,使检测对安全团队来说更具挑战性。
macOS 和 Linux 系统之间的跨平台兼容性进一步放大了其对不同企业环境的潜在影响。
Deriv Tech 研究人员指出,该框架的设计展示了对现代安全架构和云服务滥用技术的复杂理解。
概念验证的实施凸显了对手如何轻松地利用合法的 SaaS 平台进行恶意目的,利用组织对主要云提供商的固有信任。
攻击方法以基于轮询的通信系统为中心,在该系统中,受感染的代理每 30 秒向特定的 Google 日历 API 端点发送一次 GET 请求。
当操作员需要发出命令时,他们会创建日历事件,并在摘要字段中嵌入说明,格式为“来自无人的会议:[COMMAND]”。
受害代理在常规轮询周期中识别这些命令事件,提取命令,在本地执行它们,并使用嵌入在描述字段中的 [OUTPUT] [/OUTPUT] 参数中的执行结果更新同一日历事件。
技术实施和规避机制
MeetC2 框架的技术架构揭示了利用 Google 服务的普遍性和可信性质的复杂规避功能。
身份验证过程使用标准 OAuth2 流程,要求攻击者创建具有日历访问权限的合法 Google Cloud Console 项目和服务帐户。
这种方法可确保所有通信都显示为授权的 API 交互,而不是可疑的网络流量。
该实施需要最少的基础设施,完全通过 Google 现有的 Calendar API 基础设施运行。
操作员通过在共享日历上配置了“更改事件”权限的服务帐户进行身份验证。
轮询机制采用 30 秒的间隔,在作响应能力和避免可能触发速率限制或可疑活动警报的过多 API 请求之间取得平衡。
代码执行是通过从日历事件摘要中提取命令来实现的,并将结果上传回同一事件的描述字段。
这种双向通信模型创建了一个完整的命令和控制通道,同时保持合法日历同步活动的外观。
该框架支持使用特定于主机的语法(如“exec @host:command”)或同时跨多个受感染系统广播命令执行有针对性的命令。
MeetC2 的持久性和隐蔽性特性使其特别受到企业安全团队的关注,因为该框架不会生成可疑的网络模式,并利用组织明确列入白名单进行业务运营的服务。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
