기존의 Cloudflare Tunnels 기능이 해커들에 의해 악용되어 정상 HTTPS 연결인 것처럼 꾸미고, 방화벽을 우회하여 장기간 지속성을 유지합니다. 과거에도 악의적인 PyPI 패키지를 생성, Cloudflare Tunnels를 사용하여 데이터를 몰래 훔치거나 원격으로 장치에 액세스하는 위협 행위자가 있었습니다. 최근에는 이러한 기능을 악용하는 위협 행위자가 늘어나고 있습니다.
해커들은 Cloudflare Tunnel 기능을 악용하여 피해자 장치에서 단 한 번의 명령만으로 은밀한 통신 채널을 설정할 수 있습니다. 이 과정에서 위협 행위자는 터널의 설정을 실시간으로 수정하며, 비활성화하고, 필요에 따라 활성화할 수 있습니다.
해커들이 더 은밀하게 행동하려면 Cloudflare의 'TryCloudflare' 기능을 악용하여 계정을 생성하지 않고 일회성 터널을 만드는 것도 가능합니다. 더 나아가, Cloudflare의 'Private Networks' 기능을 악용하여 터널을 개설한 공격자가 내부 IP 주소 범위 전체에 원격으로 액세스할 수 있습니다. Cloudflare Tunnel의 불법적인 사용을 감지하기 위해 조직은 특정 DNS 쿼리를 모니터링하고 비표준 포트를 사용하는 것을 추천합니다.
요약
- 해커들이 Cloudflare Tunnels 기능을 악용하여 보안 방화벽을 우회하고 장기간 지속성을 유지하고 있다.
- 피해자의 네트워크에 잠재적으로 지속적으로 접근하고, 탐지를 회피하며, 손상된 장치의 데이터를 유출하는 행위가 있었다.
- Cloudflare Tunnel의 불법적인 이용을 감지하기 위해 특정 DNS 쿼리를 모니터링하고 비표준 포트를 사용하는 것이 필요하다.
- 일회성 터널 생성을 가능하게 하는 'TryCloudflare' 기능과 내부 IP 주소 전체에 원격으로 액세스 가능한 'Private Networks' 기능 또한 악용되고 있다.
- 공격자는 실시간으로 터널 설정을 수정하며, 필요에 따라 비활성화, 활성화 할 수 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.