แฮ็กเกอร์ใช้ Cloudflare Tunnels ในการทำ Covert Communications

แฮ็กเกอร์ใช้ Cloudflare Tunnels ในการทำ Covert Communications

นักวิจัยพบว่าผู้โจมตีกำลังใช้ Cloudflare Tunnels เพื่อสร้าง Covert Communications จากโฮสต์ที่ถูกโจมตี และสร้างการเชื่อมต่อสำหรับการแฝงตัวอยู่บนระบบของเหยื่อ

Nic Finn นักวิเคราะห์ข้อมูลความเสี่ยงระดับสูงที่ GuidePoint Security ระบุว่า "Cloudflared มีความคล้ายคลึงในการทำงานกับ ngrok อย่างมาก" อย่างไรก็ตาม Cloudflared แตกต่างจาก ngrok โดยมีความสามารถที่มากกว่าในการใช้งานฟรี รวมถึงความสามารถในการเชื่อมต่อแบบ TCP ผ่าน cloudflared

Cloudflared ใช้เครื่องมือ command-line สำหรับ Cloudflare Tunnel ที่ช่วยให้ผู้ใช้งานสามารถสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเว็บเซิร์ฟเวอร์ และ data center ของ Cloudflare ที่ใกล้ที่สุด เพื่อซ่อนที่อยู่ IP ของเว็บเซิร์ฟเวอร์ และป้องกันการโจมตีแบบ volumetric distributed denial-of-service (DDoS) และการโจมตี brute-force login

สำหรับผู้โจมตีที่ได้สิทธิ์ระดับสูงบนโฮสต์ที่ถูกโจมตีนั้น feature นี้มีประโยชน์อย่างมากในการสร้าง Tunnel เพื่อเชื่อมต่อจากเครื่องของเหยื่อ

Finn อธิบายว่า "Tunnel จะอัปเดตทันทีเมื่อมีการเปลี่ยนแปลงการกำหนดค่าใน Cloudflare Dashboard ทำให้ผู้โจมตีสามารถเปิดใช้งานฟังก์ชันได้เฉพาะเมื่อต้องการดำเนินการบนเครื่องของเหยื่อ จากนั้นปิดใช้งานฟังก์ชัน เพื่อป้องกันการเปิดเผย infrastructure ของพวกเขา"

"ตัวอย่างเช่น ผู้โจมตีอาจเปิดใช้งานการเชื่อมต่อ RDP เพื่อเก็บข้อมูลจากเครื่องเหยื่อ แล้วปิดการเชื่อมต่อ RDP จนถึงวันถัดไป เพื่อลดโอกาสในการตรวจพบ หรือการสังเกตชื่อโดเมนที่ใช้เพื่อเชื่อมต่อ"

สิ่งที่น่าเป็นห่วงยิ่งกว่านั้น คือผู้โจมตีอาจใช้ประโยชน์จากฟังก์ชัน Private Networks เพื่อลักลอบเข้าถึง range ของที่อยู่ IP (หรือปลายทางของเครือข่ายภายใน) เสมือนว่า "อยู่ในตำแหน่งเดียวกับเครื่องของเป้าหมายที่เป็นโฮสต์ของ Tunnel"

เทคนิคนี้ได้ถูกนำมาใช้จริงแล้วในช่วงต้นปีนี้ Phylum และ Kroll ได้แสดงรายละเอียดเกี่ยวกับการโจมตีแบบ supply chain attacks ที่มีเป้าหมายไปที่ Python Package Index (PyPI) โดยที่พบว่าแพ็คเกจที่ไม่ถูกต้องถูกดาวน์โหลดเพื่อใช้ cloudflared เพื่อเข้าถึงจากภายนอกผ่าน Flask web application.

Finn ระบุว่า "องค์กรที่ใช้บริการจาก Cloudflare อาจจะสามารถจำกัดบริการของพวกเขาที่จะเชื่อมต่อไปยัง data centers และสร้างการตรวจจับสำหรับ traffic ต่าง ๆ เช่น Cloudflared tunnels ที่เชื่อมต่อไปที่อื่น ๆ นอกเหนือจาก data centers ที่ระบุไว้ ซึ่งวิธีนี้อาจช่วยในการตรวจจับ tunnel ที่ไม่ได้รับอนุญาตได้"

เพื่อป้องกันการถูกนำ Cloudflared มาใช้อย่างไม่ถูกต้อง แนะนำให้องค์กรใช้ logging mechanisms ที่เพียงพอเพื่อตรวจสอบคำสั่งที่ผิดปกติ ข้อมูลการเรียกใช้ DNS และการเชื่อมต่อออกไปภายนอก พร้อมกับการป้องกันการพยายามดาวน์โหลดไฟล์ executable

ที่มา : Thehackernews