Cloudflare Tunnelを悪用してステルス接続を行うハッカーが増加中

masapoco
投稿日 2023年8月8日 12:16
tunnel

ハッカーは、侵害されたデバイスからステルスHTTPS接続を作成し、ファイアウォールを回避し、長期的な持続性を維持するために、Cloudflare Tunnel機能を悪用するケースが増えている。

この手口自体は新しいものではないが、GuidePointのDFIRチームとGRITチームが先週報告したように、より多くの脅威がこの手口を使い始めているようだ。

Cloudflare Tunnelの悪用

CloudFlare TunnelはCloudflareが提供する一般的な機能で、Webサーバやアプリケーション用にCloudflareネットワークへの安全なアウトバウンド専用接続を作成することが出来るものだ。

ユーザーは、Linux、Windows、macOS、Docker用の利用可能なcloudflaredクライアントのいずれかをインストールするだけで、トンネルをデプロイできる。

そこから、サービスはユーザー指定のホスト名でインターネットに公開され、リソース共有やテストなどの正当なユースケースに対応する。

Cloudflare Tunnelは、様々なアクセス制御、ゲートウェイ設定、チーム管理、ユーザ分析を提供し、ユーザにトンネルと公開された危険なサービスに対する高度な制御を与える。

GuidePointのレポートでは、被害者のネットワークへのステルス的な永続的アクセスの獲得、検知の回避、侵害されたデバイスのデータの流出など、悪意のある目的のためにCloudflare Tunnelsを悪用する脅威行為者が増えているとのことだ。

攻撃者独自のトンネル・トークン以外には何も公開されない被害者のデバイスからのコマンド1つで、目立たない通信チャネルを設定することができます。同時に、脅威者はトンネルの設定を変更し、必要に応じて無効化、有効化をリアルタイムで行うことができる。

「Cloudflare TunnelはCloudflare Dashboardで設定変更が行われるとすぐに更新されるため、TAは被害マシンで活動を行いたいときだけ機能を有効にし、インフラが暴露されないように機能を無効にすることができます」とGuidePointは説明する。

「例えば、TAはRDP接続を有効にし、被害マシンから情報を収集した後、翌日までRDPを無効にすることができます」。

HTTPS接続とデータ交換はポート7844のQUIC上で行われるため、ファイアウォールやその他のネットワーク保護ソリューションが、特別に設定されていない限り、このプロセスにフラグを立てる可能性は低い。

また、攻撃者がさらにステルス性を高めたい場合は、アカウントを作成せずにワンタイムトンネルを作成できるCloudflareの「TryCloudflare」機能を悪用することもできる。

さらに悪いことに、Cloudflareの「Private Networks」機能を悪用して、単一のクライアント(被害者)デバイスにトンネルを確立した攻撃者が、内部IPアドレスの全範囲にリモートアクセスすることも可能だとGuidePointは述べている。

「プライベート・ネットワークが設定された今、ローカル・ネットワーク上のデバイスにピボットし、ローカル・ネットワーク・ユーザーに限定されたサービスにアクセスすることができる」とGuidePointのリサーチャーNic Finn氏は警告している。

Cloudflare Tunnelsの不正使用を検出するために、GuidePointは組織が特定のDNSクエリ(レポートで共有)を監視し、7844のような非標準ポートを使用することを推奨している。

さらに、Cloudflare Tunnelは「cloudflared」クライアントのインストールを必要とするため、防御側はクライアントのリリースに関連するファイルハッシュを監視することで、その使用を検出することができる。


Source



この記事が面白かったら是非シェアをお願いします!


  • weight training
    次の記事

    上腕二頭筋のトレーニングは1回3秒を週に3回だけで良い

    2023年8月8日 15:44
  • 前の記事

    Google検索にAI搭載の文法チェッカーが登場

    2023年8月8日 11:32
    grammar

スポンサーリンク


この記事を書いた人
masapoco

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

おすすめ記事

  • FireShot Capture 061 Search Labs labs.google.com

    GoogleのAI統合検索がマルウェアサイトにユーザーを導いている

  • M2 Mac Pro 1

    Appleの「M1、M2、M3」チップに修正不可能な深刻な脆弱性「GoFetch」が見つかる

  • united nations

    国連がグローバルなAI決議案を全会一致で採択

  • tiktok icon

    ホワイトハウス、米上院のTikTok法案採決に「迅速な動き」を期待すると述べる

  • mcdonalds

    マクドナルド、システム障害の原因は“サードパーティプロバイダの設定ミス”と発表

今読まれている記事