Хакеры всё чаще злоупотребляют легитимной функцией Cloudflare Tunnels для создания скрытных HTTPS-соединений с заражённых устройств, обхода брандмауэров и долгосрочного закрепления в системе.
Cloudflare Tunnels – популярная функция Cloudflare, позволяющая создавать защищённые исходящие соединения с сетью Cloudflare для веб-серверов или приложений.
Эксплуатируемая кибербандитами лазейка не является совсем новой. В январе этого года мы уже сообщили , что злоумышленники создали вредоносные пакеты PyPI, использующие Cloudflare Tunnels для скрытного кражи данных или удалённого доступа к устройствам.
Однако похоже, что всё больше хакеров начали применять эту тактику. Так, на прошлой неделе специалисты компаний GuidePoint отметили всплеск такой активности.
Пользователи сервиса Cloudflare могут развернуть туннель, просто установив один из доступных клиентов Cloudflared для Linux, Windows, macOS и Docker. Далее сервис получает доступ в интернет по указанному пользователем хосту для законных сценариев использования, таких как совместное использование ресурсов, тестирование и т.д.
Cloudflare Tunnels предоставляют широкий спектр средств управления доступом, настройки шлюзов, управления командами и аналитики пользователей, давая высокую степень контроля над туннелем и предоставляемыми сервисами.
Исследователи GuidePoint сообщают, что всё больше злоумышленников используют Cloudflare Tunnels в преступных целях – для скрытного постоянного доступа к сети жертвы, обхода обнаружения и эксфильтрации данных с заражённых устройств.
Для этого достаточно одной команды с устройства жертвы, не выдающей ничего кроме уникального токена туннеля злоумышленника. При этом атакующий может в реальном времени изменять конфигурацию туннеля, отключать и включать его по мере необходимости.
“Туннель обновляется, как только изменение конфигурации вносится в панель управления Cloudflare, позволяя атакующим включать функциональность только когда им нужно проводить действия на машине жертвы, а затем отключать её, чтобы избежать обнаружения своей инфраструктуры”, – поясняют в GuidePoint.
Поскольку HTTPS-соединение и обмен данными происходит через протокол QUIC на порту 7844, маловероятно, что брандмауэры или другие средства защиты сети выявят этот процесс, если не были настроены специально для этого.
Более того, если злоумышленник захочет быть ещё более скрытным, он может злоупотребить функцией “Попробовать Cloudflare”, позволяющей создавать одноразовые туннели без регистрации аккаунта.
Однако и это не предел возможностей хакеров. В GuidePoint отметили, что также возможно злоупотребление функцией “Частные сети”, чтобы атакующий, установивший туннель к одному клиентскому (заражённому) устройству, получил таким образом удалённый доступ ко всему диапазону внутренних IP-адресов.
Для обнаружения несанкционированного использования Cloudflare Tunnels исследователи GuidePoint рекомендуют отслеживать специфические DNS-запросы (приведены в отчёте ) и использовать нестандартные порты вроде 7844.
Кроме того, поскольку Cloudflare Tunnel требует установки отдельного клиента Cloudflared, защитники могут выявить его с помощью мониторинга хешей файлов, связанных с релизами клиента.