GuidePoint 解釋道:“Cloudflare 儀表板中的配置更改后,隧道就會立即更新,從而允許 TA 僅當他們想要在受害計算機上執行活動時啟用功能,然后禁用功能以防止其基礎設施暴露。”
“例如,TA 可以啟用 RDP 連接,從受害計算機收集信息,然后在第二天之前禁用 RDP,從而降低檢測到的機會或觀察用于建立連接的域的能力。”
由于 HTTPS 連接和數據交換是通過端口 7844 上的 QUIC 進行的,因此防火墻或其他網絡保護解決方案不太可能標記此進程,除非經過專門配置。
此外,如果攻擊者想要更加隱蔽,他們可以濫用 Cloudflare 的“TryCloudflare”功能,該功能允許用戶在不創建帳戶的情況下創建一次性隧道。
更糟糕的是,GuidePoint 表示,還可能濫用 Cloudflare 的“專用網絡”功能,允許與單個客戶端(受害者)設備建立隧道的攻擊者遠程訪問整個內部 IP 地址范圍。
GuidePoint 研究員 Nic Finn 警告說:“現在專用網絡已配置完畢,我可以轉向本地網絡上的設備,訪問僅限于本地網絡用戶的服務。”
為了檢測對 Cloudflare Tunnels 的未經授權的使用,GuidePoint 建議組織監控特定 DNS 查詢(在報告中共享)并使用 7844 等非標準端口。
此外,由于 Cloudflare Tunnel 需要安裝“cloudflared”客戶端,防御者可以通過監控與客戶端版本相關的文件哈希來檢測其使用情況。
