Современные корпоративные сети и инфраструктуры сталкиваются с постоянно растущим числом угроз, вызывающих необходимость искать новые подходы как для защиты, так и для атаки. Одним из таких относительно малоизвестных, но весьма эффективных методов является применение Bluetooth Personal Area Network (PAN) для создания скрытого туннеля между атакующим и жертвой, что позволяет обойти стандартные ограничения доступа и установить удалённый контроль с использованием нативных инструментов Windows. Эта методика, известная как «living off the land», подразумевает использование уже встроенных в систему функций и приложений, что значительно снижает шансы обнаружения со стороны систем защиты и мониторинга. В нашей статье подробно рассматриваются все аспекты данной техники, её технические возможности, практическая реализация, а также способы минимизации рисков для организаций. Bluetooth PAN — это функция, позволяющая объединять устройства в небольшие личные сети, используя беспроводное соединение Bluetooth.
Она изначально предназначена для удобного обмена данными между устройствами на небольшом расстоянии, например, между ноутбуком и смартфоном. Примечательно, что на подавляющем большинстве ноутбуков с операционной системой Windows Bluetooth включён по умолчанию, а нативные средства управления и подключения настроены на простое использование. Это создает основу для того, чтобы потенциально использовать такую сеть для целей атаки. В традиционном случае проникновения в корпоративную сеть атакующий сталкивается с определенными ограничениями: многие организации используют механизмы изолирования клиентских устройств, ограничивают физический доступ, а также мониторят подключения через Ethernet-порты и вайфай. В подобной ситуации прямое подключение вредоносного устройства к локальной сети становится невозможным или слишком рискованным с точки зрения обнаружения.
Использование Bluetooth PAN позволяет обойти эти барьеры, установив скрытый канал связи между ноутбуком, предоставленным сотруднику или клиенту, и виртуальной машиной (VM) злоумышленника, находящейся поблизости. На стороне атакующего создается Bluetooth-адаптер, который подключается к Linux VM. После активации Bluetooth-сервисов на виртуальной машине, а также включения функции Network Access Point (NAP), адаптер становится обнаруживаемым для внешних устройств. Затем жертва, используя стандартные средства Windows, подключается к этому Bluetooth PAN и создаёт локальную сеть с Linux VM. После успешного установления соединения, можно воспользоваться встроенным OpenSSH-клиентом Windows для создания обратного SSH-туннеля.
Особенностью OpenSSH, представленного в Windows по умолчанию начиная с последних версий, является его доступность для пользователей с низкими привилегиями. Это означает, что злоумышленнику не нужно иметь административные права для запуска SSH-сессий и создания прокси. Данный SSH-туннель обеспечивает защиту и скрытность, поскольку весь трафик шифруется, а управляющие команды выглядят как обычная сессия администратора. Используя ssh с параметром -R (reverse), атака получает возможность передавать трафик из внутренней сети на свой управляющий компьютер, минуя традиционные сетевые барьеры и процедуры аутентификации. Эта схема значительно упрощает процесс проведения атак и разведки внутри сети.
Вместо того чтобы использовать сложные C2-инфраструктуры, требующие подключения через интернет с риском обнаружения, атакующий может работать через Bluetooth PAN локально, улучшая стабильность соединения и сокращая время отклика. Такой метод особенно полезен в сценариях с инсайдерскими угрозами, когда устройство уже доверенное, но необходимо выполнить дополнительные скрытные операции. Для реализации данного подхода требуется минимум подготовки. Обычно достаточно приобрести совместимый Bluetooth-адаптер, подключить его к Linux VM, включить необходимые службы Bluetooth и OpenSSH, а также настроить сопряжение с целевым устройством. Создание SSH-ключей на клиентском ноутбуке и загрузка публичного ключа на VM обеспечивают беспроблемный доступ без паролей.
Далее команда ssh с пробросом порта позволяет организовать SOCKS-прокси или туннелирование командных утилит, таких как nmap, что помогает проводить сетевой сканинг, сбор информации и другие операции без прямого интернет-соединения. Для защиты от данной техники организациям рекомендуется тщательно контролировать и ограничивать использование Bluetooth PAN на рабочих устройствах. Отключение или удаление служб Bluetooth, если они не используются, применение групповых политик через Intune или Active Directory позволяют снизить риск несанкционированных подключений. Аналогично необходимо контролировать и ограничивать работу OpenSSH-сервера, если он установлен, а также мониторить попытки подключения и запуск туннелей. Мониторинг сетевых активностей должен включать выявление необычных Bluetooth-соединений и аномалий в локальном трафике.
![I wish I was taught Einstein's Special Relativity this way [video]](/images/D91D59D5-512B-47BE-B6B9-1F0756EB8133)
