Microsoft 的 Visual Studio Code (VS Code) 代码编辑器和开发环境包含一个缺陷,允许恶意扩展检索存储在 Windows、Linux 和 macOS 凭据管理器中的身份验证令牌。
这些令牌用于与各种第三方服务和 API(例如 Git、GitHub 和其他编码平台)集成,因此窃取它们可能会对受损组织的数据安全造成严重后果,可能导致未经授权的系统访问、数据泄露、 ETC。
该缺陷是 由 Cycode 研究人员发现的,他们将其连同他们开发的有效概念验证 (PoC) 报告给了 Microsoft。然而,这家科技巨头决定不解决这个问题,因为扩展预计不会从环境的其他部分沙箱化。
Cycode 发现的安全问题是由于 VS Code 的“秘密存储”中缺乏对身份验证令牌的隔离造成的,该 API 是一个允许扩展在操作系统中存储身份验证令牌的 API。
这是使用 Keytar 完成的,Keytar 是 VS Code 的包装器,用于与 Windows 凭据管理器(在 Windows 上)、钥匙串(在 macOS 上)或密钥环(针对 Linux)进行通信。
这意味着 VS Code 中运行的任何扩展(甚至是恶意扩展)都可以访问秘密存储并滥用 Keytar 来检索任何存储的令牌。
Cycode 研究员 Alex Ilgayev 告诉 BleepingComputer,除了内置的 GitHub 和 Microsoft 身份验证之外,所有保存的凭据都来自使用第三方扩展。
“除了内置的 Github/Microsoft 身份验证之外,VSCode 中保存的所有令牌都来自扩展,”Ilgayev 告诉 https://28u.cc。
“它们要么由官方扩展(来自 Microsoft)定义,例如 Git、Azure、Docker/Kubernetes 等,要么由第三方扩展定义,例如 CircleCI、GitLab、AWS。”
发现问题后,Cycode 的研究人员开始尝试创建恶意扩展来窃取 CircleCI(带有 VS Code 扩展的流行编码平台)的代币。他们通过修改 CircleCI 的扩展来运行一个命令来实现这一点,该命令将公开其安全令牌,甚至将其直接发送到研究人员的服务器。
逐渐地,他们开发了一种更通用的攻击方法来提取这些秘密,而不篡改目标扩展的代码。
接下来,必须对检索到的令牌进行解密,Cycode 发现用于加密令牌的算法是 AES-256-GCM,通常是安全的。但是,用于加密令牌的密钥是从当前可执行路径和计算机 ID 派生的,因此可以轻松重新创建密钥。
检索到的令牌由 VS Code 的 Electron 可执行文件中运行的自定义 JS 脚本解密,解密并打印本地安装的扩展的所有密码。
Cycode 研究人员发现的第二个缺陷是“getFullKey”函数通过给定的“extensionId”检索机密,该“extensionId”源自扩展程序的名称和发布者。
此问题允许任何人修改这些字段并欺骗 VS Code 授予他们访问另一个扩展的安全令牌的权限。
Cycode 使用再次模仿 CircleCI 的 PoC 扩展对此进行了测试;然而,他们指出,复制任何其他扩展并获取其秘密都是微不足道的。
Cycode 告诉 https://28u.cc,他们两个月前向微软披露了这个问题,甚至展示了他们的 PoC 扩展及其窃取存储的扩展令牌的能力。
不管怎样,微软的工程师并不认为这是一个安全问题,并决定维持 VS Code 秘密存储管理框架的现有设计。
https://28u.cc 已联系 Microsoft 请求对上述内容发表评论,但尚未收到对我们问题的答复。
Microsoft 今天发布了 Microsoft Office 的深度防御更新,可防止利用被追踪为 CVE-2023-36884 的远程代码执行 (RCE) 漏洞,威胁行为者已在攻击中利用该漏洞。
在 今天的微软 8 月补丁星期二中,该更新帮助修复了 7 月份披露的安全问题 CVE-2023-36884,微软当时没有修补该问题,但提供了缓解建议。
最初,该错误被报告为 Microsoft Office 中的 RCE,但进一步审查后将其归类为 Windows Search 远程代码执行。
黑客利用该漏洞作为零日漏洞,在 RomCom 威胁组织的攻击中使用恶意 Microsoft Office 文档远程执行代码 ,以达到财务和间谍目的。
在今天的一份 通报中 ,微软将 Office 更新称为“提供增强的安全性作为纵深防御措施”。
该公司的其他信息解释说,该更新旨在阻止触发 CVE-2023-36884 的攻击链。
Microsoft 建议安装今天发布的 Office 更新以及本月起的 Windows 更新。
在最初的通报中,微软解释说,攻击者可以通过电子邮件或消息通信发送特制文件来利用该漏洞。
尽管需要用户交互,但威胁行为者可以轻松地想出足够令人信服的诱饵并引诱潜在受害者打开恶意文件。
根据 Microsoft 的评估,成功利用该漏洞可能会导致机密性、完整性和可用性的严重损失,这意味着攻击者可以丢弃逃避 Web 标记 (MoTW) 防御的恶意文件,并在受感染的系统上提供代码执行。
今天的 Office 更新可阻止利用标识为 CVE-2023-36884 的 Windows Search 安全绕过漏洞,适用于 Microsoft Office 2013/2016/2019 套件以及 32 位和 64 位架构的应用程序。
在针对医疗机构的一波攻击迫使政府机构和网络安全公司更加密切地关注其运作之后,Rhysida 勒索软件行动正名声大噪。
在美国卫生与公众服务部 (HHS) 发布安全公告后,CheckPoint、思科 Talos 和趋势科技均发布了有关 Rhysida 的报告,重点关注威胁行为者操作的不同方面。
此前,6月,Rhysida在其数据泄露网站上泄露了从智利陆军(Ejército de Chile)窃取的文件后首次引起关注 。
当时,SentinelOne 对 Rhysida 加密器的初步分析表明,该勒索软件正处于早期开发阶段,缺少大多数病毒株中常见的标准功能,如持久性机制、卷影复制擦除、进程终止等。
“这是来自网络安全团队 Rhysida 的自动警报,”Rhysida 勒索信中写道。
“不幸的情况发生了——您的数字生态系统已受到损害,大量机密数据已从您的网络中泄露。”
虽然一些勒索软件操作声称不会故意针对医疗机构,甚至在错误操作的情况下提供免费解密密钥,但 Rhysida 似乎并未遵循相同的政策。
Rhysida 暗网数据泄露网站列出了澳大利亚的一家医疗机构,在被盗数据泄露之前给他们一周的时间支付赎金。
美国卫生与公众服务部 (HHS) 上周发布的一份公告警告称,虽然 Rhysida 仍在使用基本储物柜,但其活动规模已发展到危险程度,最近,威胁行为者表现出对医疗保健的关注和公共部门。
美国卫生与公众服务部的公告中写道:“受害者分布在西欧、北美、南美和澳大利亚的多个国家。”
“他们主要攻击教育、政府、制造、技术和托管服务提供商部门;不过,最近也出现了针对医疗保健和公共卫生 (HPH) 部门的攻击。”
不过,Rhysida 尚未对此次攻击承担责任,PMH 也未回复有关勒索软件团伙是否是此次攻击幕后黑手的电子邮件。
如果您有有关此攻击或其他未报告的网络攻击的第一手信息,您可以通过 Signal 与我们秘密联系: +16469613731。
今天发布的趋势 科技报告 重点关注了最常见的 Rhysida 攻击链,解释说该威胁组织使用网络钓鱼电子邮件来实现初始访问,然后部署 Cobalt Strike 和 PowerShell 脚本,并最终释放储物柜。
趋势科技分析师的一个有趣观察是,Rhysida 操作员使用的 PowerShell 脚本会终止 AV 进程、删除卷影副本并修改 RDP 配置,这表明该储物柜正在积极开发。
勒索软件加密器本身通常会处理这些任务,但对于 Rhysida 操作,它们使用外部脚本来达到相同的目的。
Cisco Talos 的报告证实,最新的 Rhysida 储物柜使用 4096 位 RSA 密钥和 ChaCha20 算法进行文件加密,并且现在排除了多个目录以及以下文件类型:
.bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagpkg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .ini thumbs .db .url .iso and .cab
CheckPoint 的报告 更进一步, 根据受害者在两个勒索网站上的发布时间及其类似的受害者定位模式,将 Rhysida 与现已解散的Vice Society 勒索软件操作联系起来。
总之,Rhysida 很快就在勒索软件领域站稳脚跟,针对各个行业的组织,并且毫不犹豫地攻击医院。
尽管 RaaS 在运营方面似乎进展太快,而技术方面却滞后,但这方面的发展表明 Locker 正在迎头赶上。
密苏里州社会服务部警告称,在 IBM 遭受 MOVEit 数据盗窃攻击后,受保护的医疗补助医疗保健信息在数据泄露中暴露。
这次 攻击是由 Clop 勒索软件团伙发起的,该团伙 于 5 月 27 日开始使用追踪为 CVE-2023-34362 的零日漏洞攻击 MOVEit Transfer 服务器。
这些攻击使威胁行为者能够窃取 全球 600 多家公司的数据,包括公司、教育组织、联邦政府机构和地方国家机构。
勒索软件团伙预计将从 这些攻击中获利 75-1 亿美元。
昨天,密苏里州社会服务部披露了一起数据泄露事件,该事件暴露了与该州医疗补助服务相关的健康信息。
DSS数据泄露通知中写道:“密苏里州社会服务部 (DSS) 正在对 2023 年 5 月 IBM Consulting (IBM) 发生的一起数据安全事件做出回应,该事件涉及 Progress Software 的 MOVEit Transfer 软件。 ”
“IBM 是一家向 DSS 提供服务的供应商,DSS 是一个向符合条件的密苏里州人提供医疗补助服务的国家机构。该数据漏洞并未直接影响任何 DSS 系统,但影响了属于 DSS 的数据。DSS 立即采取了措施来应对这一事件,正在进行中。”
IBM 昨天向28u.cc证实,他们的 MOVEit Transfer 服务器在这些攻击中遭到破坏,导致数据被盗。
IBM 在一份声明中告诉28u.cc:“IBM 已与密苏里州社会服务部合作,确定并尽量减少涉及 MOVEit Transfer 事件的影响,MOVEit Transfer 是 Progress Software 提供的非 IBM 数据传输程序。”
“收到 Progress 的安全公告后,我们切断了 MOVEit Transfer 与该部门 IT 系统的交互,以避免对密苏里州公民及其数据造成任何进一步影响。没有 IBM 系统受到影响。”
在分析被盗数据后,DSS 确认其中包含密苏里州医疗补助参与者的受保护健康信息。
“DSS 仍在审查与此事件相关的文件。这需要我们一些时间才能完成。这些文件很大,不是简单的英语,而且由于格式的原因,不容易阅读。”
该机构告诉28u.cc,调查显示仅暴露了两 (2) 个社会安全号码,并且没有识别任何银行信息。
DSS 警告说,由于被盗文件的大小及其格式,可能需要一些时间来分析数据并完全确定数据泄露的范围。
然而,DSS 告诉28u.cc,出于谨慎考虑,他们正在向 2023 年 5 月加入的所有密苏里州医疗补助参与者发送通知。
密苏里州社会服务部建议个人冻结信用,以防止威胁行为者开设新账户或以其名义借钱。
该机构还建议受影响的人监控其信用报告是否存在异常活动。
MOVEit Transfer 攻击影响了其他州机构,包括 路易斯安那州和俄勒冈州机动车辆管理局,该部门在 6 月份警告称,数百万州身份证被盗。
在 GG-18、GG-20 和 Lindell 17 等广泛使用的加密协议的实施中,多个名为“BitForge”的零日漏洞影响了流行的加密货币钱包提供商,包括 Coinbase、ZenGo、Binance 等。
这些漏洞可能允许攻击者在几秒钟内窃取受影响钱包中存储的数字资产,而无需与用户或供应商交互。
这些缺陷由 Fireblocks 密码学研究团队于 2023 年 5 月发现,并将其统称为“BitForge”。
今天,分析师在 BlackHat 演讲“小泄漏,数十亿美元:破坏领先加密钱包的实用加密漏洞”中公开披露了 BitForge,此时 Coinbase 和 ZenGo 已应用修复程序来解决该问题。
然而,Fireblocks 表示,币安和其他数十家钱包提供商仍然容易受到 BitForge 的攻击,Fireblocks 为项目创建了一个状态检查器,以检查它们是否因不正确的多部分计算 (MPC) 协议实现而面临风险。
Fireblock 发现的第一个缺陷 (CVE-2023-33241) 影响 GG18 和 GG20 门限签名方案 (TSS),这些方案被认为是 MPC 钱包行业的开创性和基础性的,允许多方生成密钥和共同签署交易。
Fireblock 的分析师发现,根据实施参数,攻击者有可能发送特制消息并以 16 位块的形式提取密钥碎片,并重复 16 次从钱包中检索整个私钥。
该缺陷源于缺乏对攻击者的 Paillier 模数 (N) 及其基于小因子或双素数的存在的加密状态的检查。
Fireblock 的报告中写道:“如果被利用,该漏洞允许威胁行为者与 TSS 协议中的签名者交互,窃取他们的秘密碎片并最终获得主密钥。”
“漏洞的严重性取决于实施参数,因此不同的参数选择会引发不同的攻击,提取完整密钥所需的努力/资源程度也不同。”
Lindell17 2PC 协议 (CVE-2023-33242) 中发现的漏洞具有类似的性质,允许攻击者在大约 200 次签名尝试后提取整个私钥。
该缺陷在于 2PC 协议的实现而不是协议本身,并通过钱包对中止的错误处理来体现,这迫使它们继续签名操作,从而无意中暴露了私钥的部分内容。
利用此缺陷的攻击是“非对称的”,这意味着可以通过破坏客户端或服务器来利用它。
在第一种情况下,攻击者破坏客户端,使其代表自己向服务器发送命令,这将泄露服务器的一些密钥。
Fireblock 表示,需要进行 256 次此类尝试才能收集足够的数据来重建服务器的整个秘密共享。
然而,由于没有限制,攻击者可以用许多快速连续的请求来攻击服务器,因此攻击可以在短时间内进行。
第二种场景针对客户端的密钥,使用受感染的服务器通过特制的消息检索它。同样,完整的密钥提取需要 256 个请求。
分析师还在 GitHub 上发布了每个协议的两个概念验证 (PoC) 漏洞。
Coinbase 告诉28u.cc,在缺陷被披露后,他们修复了其钱包即服务 (WaaS) 解决方案中的缺陷,并感谢研究人员负责任的披露。
“我们要感谢 Fireblocks 识别并负责任地披露了这个问题。虽然 Coinbase 的客户和资金从未面临风险,但维护完全无需信任的加密模型是任何 MPC 实施的一个重要方面,”首席信息安全官 Jeff Lunglhofer 说道。币库。“设定较高的行业安全标准可以保护生态系统,对于更广泛地采用这项技术至关重要。”
乌克兰警告称,使用“Merlin”(一种开源后利用和指挥与控制框架)针对国家组织发起一波攻击。
Merlin 是一个基于 Go 的跨平台开发后工具包,可通过GitHub免费获取 ,为安全专业人员在红队练习中使用提供了大量文档。
它提供了广泛的功能,允许红队成员(和攻击者)在受感染的网络上获得立足点。
然而,正如我们 在 Sliver 中看到的那样,Merlin 现在正被威胁行为者滥用,他们利用它来支持自己的攻击,并通过受损网络横向传播。
CERT-UA 报告 称,它在以冒充该机构的网络钓鱼电子邮件(发件人地址:cert-ua@ukr.net)开始的攻击中检测到了该漏洞,并据称向收件人提供了如何强化其 MS Office 套件的说明。
这些电子邮件带有 CHM 文件附件,如果打开该附件,则会执行 JavaScript 代码,而 JavaScript 代码又会运行 PowerShell 脚本,该脚本会获取、解密和解压缩包含可执行文件“ctlhost.exe”的 GZIP 存档。
如果接收者运行此可执行文件,他们的计算机就会被 MerlinAgent 感染,从而使威胁行为者能够访问他们的计算机、数据并获得在网络中横向移动的立足点。
CERT-UA 已为该恶意活动分配了唯一标识符 UAC-0154,第一次攻击记录于 2023 年 7 月 10 日,当时威胁行为者在电子邮件中使用了“无人机训练”诱饵。
使用 Merlin 等开源工具攻击政府机构或其他重要组织会加大归因难度,从而减少与特定威胁行为者相关的明显痕迹。
朝鲜国家支持的黑客组织 ScarCruft 与对俄罗斯太空火箭设计公司和洲际弹道导弹工程组织 NPO Mashinostroyeniya 的 IT 基础设施和电子邮件服务器的网络攻击有关。
NPO Mashinostroyeniya 是一家俄罗斯设计商和制造商,设计和制造俄罗斯和印度军队使用的轨道飞行器、航天器以及战术防御和攻击导弹。美国财政部 (OFAC) 自 2014 年起对该公司实施制裁 ,因其在俄罗斯-乌克兰战争中的贡献和作用。
今天, SentinelLabs 报告称 ,ScarCruft 是对 NPO Mashinostroyeniya 电子邮件服务器和 IT 系统进行黑客攻击的幕后黑手,攻击者在其中植入了一个名为“OpenCarrot”的 Windows 后门,用于远程访问网络。
虽然此次攻击的主要目的尚不清楚,但 ScarCruft (APT37) 是一个网络间谍组织,以监视和窃取组织数据作为其网络活动的一部分而闻名。
安全分析师在分析 NPO Mashinostroyeniya 泄露的电子邮件后发现了这一漏洞,其中包含高度机密的通信内容,其中包括 IT 人员的一份报告,警告 2022 年 5 月中旬可能发生网络安全事件。
SentinelLabs 利用这些电子邮件中的信息进行调查,发现了比导弹制造商意识到的更为严重的入侵行为。
根据泄露的电子邮件,NPO Mashinostroyeniya 的 IT 员工讨论了内部设备和外部服务器上运行的进程之间的可疑网络通信。
这最终导致该公司发现内部系统上安装了恶意 DLL,导致他们与防病毒公司合作以确定它们是如何被感染的。
在分析电子邮件中发现的 IP 地址和其他妥协指标 (IOC) 后,SentinelLabs 确定该俄罗斯组织感染了“OpenCarrot”Windows 后门。
OpenCarrot 是一种功能丰富的后门恶意软件, 此前 与另一个朝鲜黑客组织Lazarus Group存在关联。
虽然尚不清楚这是否是 ScarCruft 和 Lazarus 之间的联合行动,但朝鲜黑客利用与该国其他国家支持的威胁行为者重叠的工具和策略的情况并不少见。
此特定攻击中使用的 OpenCarrot 变体是作为 DLL 文件实现的,支持通过内部网络主机进行代理通信。
该后门总共支持25条命令,包括:
当受感染设备上的合法用户变得活跃时,OpenCarrot 会自动进入睡眠状态,并每 15 秒检查一次是否插入了新的 USB 驱动器,这些驱动器可以系紧并用于横向移动。
同时,SentinelLabs 发现了源自受害者 Linux 电子邮件服务器的可疑流量的证据,该服务器向 ScarCruft 基础设施发出出站信标。
分析师仍在确定入侵方法,但提到威胁行为者使用其标志性 RokRAT 后门的可能性。
SentinelLabs 认为,两个国家支持的黑客组织的参与可能表明控制这两个组织的朝鲜政府采取了蓄意的策略。
通过指派多名参与者渗透 NPO Mashinostroyeniya(他们可能认为该组织是间谍活动的重要目标),国家可能试图提高成功入侵的可能性。
Google Play 商店被 43 个 Android 应用程序渗透,安装量达 250 万次,这些应用程序在手机屏幕关闭时秘密显示广告,耗尽设备电池。
McAfee 的移动研究团队发现了恶意 Android 应用程序,并向 Google 报告了它们违反了 Google Play 商店的政策。谷歌随后从 Android 官方商店中删除了这些应用程序。
这些应用程序主要是媒体流应用程序和新闻聚合器,目标受众主要是韩国人。然而,同样的欺骗策略可以很容易地应用于其他应用程序类别和更多样化的用户群体。
虽然这些应用程序被视为广告软件,但它们仍然对用户构成风险,因为它们打开了潜在用户分析风险、耗尽设备电池寿命、消耗大量互联网数据以及对广告商进行欺诈的大门。
McAfee 的报告 称,该广告软件隐藏在 Google Play 应用程序中,模仿电视/DMB 播放器、音乐下载器、新闻和日历应用程序。
一旦安装在设备上,广告软件应用程序会等待几周,然后才会激活广告欺诈活动,以欺骗用户并逃避谷歌审核人员的检测。
McAfee表示,该广告软件的配置可以通过Firebase存储或消息传递进行远程修改和更新,因此其操作员可以调整休眠时间和其他参数。
Android 利用省电功能,在设备不使用时将应用程序置于待机模式,防止其在后台运行并占用 CPU、内存和网络资源。
当恶意广告软件应用程序安装后,系统会提示用户将其添加 为 Android 省电系统的排除项,从而允许恶意应用程序在后台运行。
这种排除使得广告软件应用程序即使在设备屏幕关闭的情况下也可以获取和加载广告,从而以欺诈方式产生收入,并使用户没有明显的方式来意识到发生了什么。
迈克菲评论说,用户打开设备屏幕时可能会短暂瞥见已加载的广告,然后屏幕会自动关闭。
然而,最可靠的妥协指标仍然是设备空闲时电池消耗高得令人费解。
要检查 Android 设备上哪些应用消耗的电量最多,请前往 “设置 → 电池 → 电池使用情况”,
其中显示“总”和“后台”使用情况。
迈克菲表示,广告软件应用程序还请求许可以利用其他应用程序,这些应用程序通常由银行木马使用,将网络钓鱼页面覆盖在合法的电子银行应用程序之上;但是,在本例中没有观察到网络钓鱼行为。
建议 Android 用户在安装应用程序之前始终阅读评论,并在安装新应用程序时仔细检查请求的权限,然后再允许安装。
随着 Windows 11 23H2 的推出,微软对 Windows 11 上的文件资源管理器进行了现代化改造,为系统集成的文件管理工具带来了更新鲜的外观和感觉。
此更新不仅在视觉上令人愉悦,而且还具有增强的特性和功能,旨在提高生产力并使导航更简单。
在新的增强功能中,重新设计的文件资源管理器现在具有由 WinUI 提供支持的现代主页,它将 流畅的设计系统集成 到所有控件和样式中。
对于使用 Azure Active Directory (AAD) 帐户登录 Windows 的用户,推荐的文件将出现在轮播中,并且即将推出对文件缩略图的支持。
快速访问文件夹、收藏夹和最近使用的部分也进行了视觉检修,提供无缝、现代的用户体验。
新的文件资源管理器具有更新的地址栏,可以区分本地和云文件夹,并显示内置状态。特别是对于 OneDrive 用户,地址栏还将指示您的 OneDrive 同步状态并提供配额的弹出窗口。
另一个令人兴奋的介绍是现代化的详细信息窗格(通过 ALT + Shift + P 访问)。此窗格提供有关所选文件的各种上下文信息,包括文件缩略图、共享状态、文件活动、相关文件和电子邮件等。
这项新功能增强了用户在不打开文件的情况下管理和协作处理文件的能力
微软还推出了图库,这是文件资源管理器中的一项新功能,旨在简化对照片集的访问。图库中显示的照片与您在照片应用程序的“所有照片”视图中看到的照片相同。
新图库经过优化,可展示您最近的照片,如果您设置了 OneDrive 相机胶卷备份,您拍摄的照片将自动显示在视图顶部。
用户可以选择图库中显示哪些文件夹,甚至可以添加子文件夹来过滤特定内容。
从智能地址栏到详细的文件洞察和轻松的照片访问,此次更新极大地增强了用户体验,使文件管理变得更轻松、更高效。
如果您想亲自测试新的文件资源管理器,可以安装 Windows Insider Beta、Dev 和 Canary 预览版本。
黑客越来越多地滥用合法的 Cloudflare Tunnels 功能,从受感染的设备创建隐秘的 HTTPS 连接、绕过防火墙并保持长期持久性。
这项技术并不是全新的,正如 Phylum 在 2023 年 1 月报道的那样,威胁行为者创建了恶意 PyPI 包,这些包使用 Cloudflare 隧道来秘密窃取数据或远程访问设备。
然而,正如 GuidePoint 的 DFIR 和 GRIT 团队上周报告的那样,似乎有更多的威胁行为者已经开始使用这种策略,并且活动有所增加。
CloudFlare Tunnels 是 Cloudflare 提供的一项流行功能,允许用户为 Web 服务器或应用程序创建与 Cloudflare 网络的安全、仅限出站连接。
用户只需安装适用于 Linux、Windows、macOS 和 Docker 的可用cloudflared客户端之一即可部署隧道 。
从那里,该服务通过用户指定的主机名暴露在互联网上,以适应合法的用例场景,例如资源共享、测试等。
Cloudflare Tunnels 提供一系列访问控制、网关配置、团队管理和用户分析,使用户能够对隧道和暴露的受损服务进行高度控制。
在 GuidePoint 的报告中,研究人员表示,越来越多的威胁行为者滥用 Cloudflare Tunnels 来达到邪恶目的,例如秘密持续访问受害者网络、逃避检测以及泄露受损设备的数据。
来自受害者设备的单个命令(除了攻击者独特的隧道令牌之外不会暴露任何内容)足以建立谨慎的通信通道。同时,威胁参与者可以根据需要实时修改隧道的配置、禁用和启用它。
GuidePoint解释道:“Cloudflare 仪表板中的配置更改后,隧道就会立即更新,从而允许 TA 仅当他们想要在受害计算机上执行活动时启用功能,然后禁用功能以防止其基础设施暴露。”
“例如,TA 可以启用 RDP 连接,从受害计算机收集信息,然后在第二天之前禁用 RDP,从而降低检测到的机会或观察用于建立连接的域的能力。”
由于 HTTPS 连接和数据交换是通过端口 7844 上的 QUIC 进行的,因此防火墙或其他网络保护解决方案不太可能标记此进程,除非经过专门配置。
此外,如果攻击者想要更加隐蔽,他们可以滥用 Cloudflare 的“ TryCloudflare ”功能,该功能允许用户在不创建帐户的情况下创建一次性隧道。
更糟糕的是,GuidePoint 表示,还可能滥用 Cloudflare 的“专用网络”功能,允许与单个客户端(受害者)设备建立隧道的攻击者远程访问整个内部 IP 地址范围。
GuidePoint 研究员 Nic Finn 警告说:“现在专用网络已配置完毕,我可以转向本地网络上的设备,访问仅限于本地网络用户的服务。”
为了检测对 Cloudflare Tunnels 的未经授权的使用,GuidePoint 建议组织监控特定 DNS 查询(在报告中共享)并使用 7844 等非标准端口。
此外,由于 Cloudflare Tunnel 需要安装“ cloudflared ”客户端,防御者可以通过监控与 客户端版本相关的文件哈希来检测其使用情况。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
