Articles

การวิจัยใหม่เปิดเผยว่า Hacker กำลังใช้ Cloudflare Tunnels ในทางที่ผิดเพื่อสร้างช่องทางการสื่อสารลับจาก host ที่ถูกบุกรุกและรักษาการเข้าถึงอย่างต่อเนื่อง

“Cloudflared นั้นทำงานคล้ายกับ ngrok มาก” Nic Finn นักวิเคราะห์ข่าวกรองภัยคุกคามอาวุโสของ GuidePoint Security กล่าว "อย่างไรก็ตาม Cloudflared แตกต่างจาก ngrok ตรงที่มีความสามารถในการใช้งานฟรีมากกว่า รวมถึงความสามารถในการ host การเชื่อมต่อ TCP บน cloudflared"

cloudflare เป็นเครื่องมือบรรทัดคำสั่งสำหรับ Cloudflare Tunnel ช่วยให้ผู้ใช้สร้างการเชื่อมต่อที่ปลอดภัยระหว่างเว็บเซิร์ฟเวอร์ต้นทางและศูนย์ข้อมูลที่ใกล้ที่สุดของ Cloudflare เพื่อซ่อนที่อยู่ IP ของเว็บเซิร์ฟเวอร์ ตลอดจนบล็อกการปฏิเสธการให้บริการแบบกระจายปริมาณ (DDoS) และ การโจมตีเข้าสู่ระบบเดรัจฉานบังคับ

สำหรับนักคุกคามที่มีการเข้าถึงระดับสูงบนโฮสต์ที่ติดไวรัส ฟีเจอร์นี้นำเสนอแนวทางที่คุ้มค่าในการตั้งค่าหลักโดยการสร้างโทเค็นที่จำเป็นในการสร้างอุโมงค์จากเครื่องของเหยื่อ

"อุโมงค์จะอัปเดตทันทีที่มีการเปลี่ยนแปลงการกำหนดค่าใน Cloudflare Dashboard ทำให้ TA สามารถเปิดใช้งานฟังก์ชันได้เฉพาะเมื่อต้องการดำเนินกิจกรรมบนเครื่องของเหยื่อ จากนั้นปิดใช้งานฟังก์ชันเพื่อป้องกันการเปิดเผยโครงสร้างพื้นฐาน" Finn อธิบาย

"ตัวอย่างเช่น TA สามารถเปิดใช้งานการเชื่อมต่อ RDP รวบรวมข้อมูลจากเครื่องของเหยื่อ จากนั้นปิดใช้งาน RDP จนกว่าจะถึงวันถัดไป ซึ่งจะเป็นการลดโอกาสในการตรวจจับหรือความสามารถในการสังเกตโดเมนที่ใช้สร้างการเชื่อมต่อ"

ที่น่าหนักใจยิ่งกว่าคือ ฝ่ายตรงข้ามสามารถใช้ประโยชน์จากฟังก์ชันเครือข่ายส่วนตัวของอุโมงค์เพื่อเข้าถึงช่วงของที่อยู่ IP อย่างลับๆ (เช่น จุดสิ้นสุดภายในเครือข่ายท้องถิ่น) ราวกับว่าพวกมัน "เชื่อมโยงทางกายภาพกับเครื่องของเหยื่อที่โฮสต์อุโมงค์"

ที่กล่าวว่าเทคนิคได้พบผู้รับในป่าแล้ว เมื่อต้นปีนี้ Phylum และ Kroll ได้ให้รายละเอียดเกี่ยวกับการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ที่แตกต่างกัน 2 รายการ โดยกำหนดเป้าหมายไปที่ที่เก็บ Python Package Index (PyPI) ซึ่งพบว่าแพ็คเกจหลอกลวงดาวน์โหลด cloudflared เพื่อเข้าถึงปลายทางจากระยะไกลผ่านเว็บแอปพลิเคชัน Flask

Finn กล่าวว่า "องค์กรที่ใช้บริการ Cloudflare อย่างถูกกฎหมายอาจจำกัดบริการของตนไว้ที่ศูนย์ข้อมูลเฉพาะเจาะจง และสร้างการตรวจจับการรับส่งข้อมูล เช่น อุโมงค์ Cloudflare ซึ่งกำหนดเส้นทางไปยังทุกที่ ยกเว้นศูนย์ข้อมูลที่ระบุ" "วิธีนี้อาจช่วยในการตรวจจับอุโมงค์ที่ไม่ได้รับอนุญาต"

เพื่อระบุการใช้ cloudflared ในทางที่ผิด ขอแนะนำให้องค์กรใช้กลไกการบันทึกที่เพียงพอเพื่อตรวจสอบคำสั่งที่ผิดปกติ การสืบค้น DNS และการเชื่อมต่อขาออก ควบคู่ไปกับการบล็อกการพยายามดาวน์โหลดไฟล์ปฏิบัติการ

ขอบคุณข้อมูลจาก

https://thehackernews.com/2023/08/hackers-abusing-cloudflare-tunnels-for.html