跳转至

通过 Webhook 外传

对手可能会将数据外传到 webhook 端点,而不是通过其主要命令和控制通道。Webhook 是一种简单的机制,允许服务器通过 HTTP/S 将数据推送到客户端,而无需客户端不断轮询服务器。(引用: RedHat Webhooks) 许多公共和商业服务(如 Discord、Slack 和 webhook.site)支持创建 webhook 端点,这些端点可以被其他服务(如 Github、Jira 或 Trello)使用。(引用: Discord Intro to Webhooks) 当链接服务中发生更改时(例如推送存储库更新或修改票证),这些服务会自动将数据发布到 webhook 端点供消费应用程序使用。 对手可能会将对手拥有的环境链接到受害者拥有的 SaaS 服务,以实现重复的自动化外传电子邮件、聊天消息和其他数据。(引用: Push Security SaaS Attacks Repository Webhooks) 或者,对手可以手动将阶段性数据直接发布到 URL 以进行外传,而不是将 webhook 端点链接到服务。(引用: Microsoft SQL Server) 访问 webhook 端点通常通过 HTTPS 进行,这为对手提供了额外的保护级别。如果 webhook 端点指向常用的 SaaS 应用程序或协作服务,利用 webhook 进行的外传也可以与正常网络流量混合。(引用: CyberArk Labs Discord)(引用: Talos Discord Webhook Abuse)(引用: Checkmarx Webhooks)