Cloudflare Tunnel 恶意利用现象分析
关键要点
恶意攻击者利用 Cloudflare Tunnel 工具进行系统持久访问和信息盗窃。Cloudflared 允许直接访问 SSH、SMB 和 RDP,无需修改防火墙规则。攻击者通过创建隧道生成令牌来保持隐秘访问。组织可以通过限制 Cloudflare 服务到特定数据中心来检测异常流量。根据SecurityWeek的报道,恶意攻击者正在利用开源工具 Cloudflare Tunnel即 Cloudflared进行系统持久访问和隐秘的信息盗窃。根据 GuidePoint 的报告,Cloudflared 使得在不需要修改防火墙规则的情况下,攻击者可以直接访问 SSH、SMB 和 RDP,从而保持对系统的隐秘访问。
GuidePoint 指出:“由于执行 Cloudflared 只需要与其创建的隧道相关联的令牌,攻击者可以在成功隧道连接之前,执行这些命令而不会暴露他们在受害机器上的任何配置。”成功使用 Cloudflared 的条件包括生成令牌的隧道、获得受害系统的访问权限,以及客户端连接到 Cloudflared 隧道。
值得注意的是,攻击者还可以利用 Private Networks 隧道配置功能来启用本地网络访问。然而,通过 Cloudflared 也可以识别到恶意工具的使用。GuidePoint 补充道:“合法使用 Cloudflare 服务的组织可以将其服务限制在特定的数据中心,并生成用于检测诸如 Cloudflared 隧道的流量的警报,这些流量是路由到他们指定的数据中心之外的。”这种方法可能有助于检测未授权的隧道。
一元机场clash订阅额外参考
主题描述链接Cloudflare提供安全、加速和可靠的互联网服务。Cloudflare 官网恶意攻击利用不断发展的工具与技术进行信息盗窃与攻击。网络安全趋势对于企业和组织而言,密切关注这些攻击手段,并采取相应措施以保护系统安全至关重要。
