Tin tặc đang lạm dụng tính năng Cloudflare Tunnels hợp pháp ngày càng nhiều để tạo các kết nối HTTPS lén lút từ các thiết bị bị xâm nhập, vượt tường lửa và duy trì sự xâm phạm lâu dài.
Kỹ thuật này không hoàn toàn mới, như Phylum đã thông báo vào tháng 1 năm 2023 rằng những kẻ đe dọa đã tạo ra các gói PyPI độc hại sử dụng Cloudflare Tunnels để lén lút đánh cắp dữ liệu hoặc truy cập thiết bị từ xa.
Tuy nhiên, có vẻ như nhiều tác nhân đe dọa đã bắt đầu sử dụng chiến thuật này, như các nhóm DFIR và GRIT của GuidePoint đã thông báo vào tuần trước, họ nhận thấy hoạt động gia tăng.
Lạm dụng tính năng Cloudflare Tunnels
CloudFlare Tunnels là một tính năng phổ biến do Cloudflare cung cấp, cho phép người dùng tạo các kết nối an toàn, chỉ gửi ra bên ngoài tới mạng Cloudflare cho máy chủ web hoặc ứng dụng.
Người dùng có thể triển khai một đường dẫn đơn giản bằng cách cài đặt một trong các ứng dụng khách đám mây có sẵn cho Linux, Windows, macOS và Docker.
Từ đó, dịch vụ được hiển thị trên internet trên tên máy chủ do người dùng chỉ định để đáp ứng các tình huống sử dụng hợp pháp như chia sẻ tài nguyên, thử nghiệm, v.v.
Cloudflare Tunnels cung cấp một loạt các biện pháp kiểm soát truy cập, cấu hình cổng, quản lý nhóm và phân tích người dùng, mang lại cho người dùng mức độ kiểm soát cao đối với đường dẫn và các dịch vụ bị xâm phạm.
Trong báo cáo của GuidePoint, các nhà nghiên cứu cho biết ngày càng có nhiều kẻ đe dọa lạm dụng Cloudflare Tunnels cho các mục đích bất chính, chẳng hạn như giành được quyền truy cập liên tục lén lút vào mạng của nạn nhân, né tránh sự phát hiện và đánh cắp dữ liệu của thiết bị bị xâm phạm.
Một lệnh duy nhất từ thiết bị của nạn nhân, không để lộ bất kỳ thứ gì khác ngoài mã thông báo đường dẫn duy nhất của kẻ tấn công cũng đủ để thiết lập kênh liên lạc kín đáo. Đồng thời, tác nhân đe dọa có thể sửa đổi cấu hình của đường dẫn, vô hiệu hóa và kích hoạt khi cần trong thời gian thực.
Thiết lập một đường dẫn độc hại
Nguồn: GuidePoint
GuidePoint giải thích: “Đường dẫn ập nhật ngay khi thay đổi cấu hình được thực hiện trong Bảng điều khiển Cloudflare, cho phép TA chỉ kích hoạt chức năng khi muốn tiến hành các hoạt động trên máy nạn nhân, sau đó tắt chức năng để ngăn cơ sở hạ tầng bị lộ”.
“Ví dụ: TA có thể kích hoạt kết nối RDP, thu thập thông tin từ máy nạn nhân, sau đó vô hiệu hóa RDP cho đến ngày hôm sau, do đó làm giảm cơ hội phát hiện hoặc khả năng quan sát miền được sử dụng để thiết lập kết nối.”
Vì kết nối HTTPS và trao đổi dữ liệu xảy ra qua QUIC trên cổng 7844 nên tường lửa hoặc các giải pháp bảo vệ mạng khác sẽ không gắn cờ (flag) quá trình này trừ khi được cấu hình cụ thể để làm như vậy.
Kết nối SMB với thiết bị của nạn nhân
Nguồn: GuidePoint
Ngoài ra, nếu kẻ tấn công muốn tàng hình hơn nữa, chúng có thể lạm dụng tính năng ‘TryCloudflare’ của Cloudflare, cho phép người dùng tạo các đường dẫn một lần mà không cần tạo tài khoản.
Vấn đề trở nên tồi tệ hơn khi GuidePoint cho biết cũng có thể lạm dụng tính năng ‘Mạng riêng’ của Cloudflare để cho phép kẻ tấn công đã thiết lập đường dẫn tới một thiết bị khách (nạn nhân) truy cập từ xa vào toàn bộ dải địa chỉ IP nội bộ.
Nhà nghiên cứu Nic Finn của GuidePoint cảnh báo: “Bây giờ mạng riêng đã được định cấu hình, tôi có thể chuyển sang các thiết bị trên mạng cục bộ, truy cập các dịch vụ chỉ dành cho người dùng mạng cục bộ”.
Để phát hiện việc sử dụng trái phép Cloudflare Tunnel, GuidePoint khuyến nghị các tổ chức nên giám sát các truy vấn DNS cụ thể (được chia sẻ trong báo cáo) và sử dụng các cổng không chuẩn như 7844.
Hơn nữa, vì Cloudflare Tunnel yêu cầu cài đặt ứng dụng khách ‘cloudflared’, những người sử dụng có thể phát hiện việc sử dụng ứng dụng này bằng cách theo dõi các tệp băm (file hash) được liên kết với các bản phát hành của ứng dụng khách.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tin-tac-lam-dung-tinh-nang-cloudflare-tunnels-ngay-cang-nhieu-de-ket-noi-len-lut
