พบแฮ็กเกอร์ใช้ Cloudflare Tunnel ช่วยหลบหลีกการตรวจจับมากขึ้น

GuidePoint DFIR และ GRIT Team ได้ออกรายงาน พบว่าแฮ็กเกอร์มีการใช้ Cloudflare Tunnel ช่วยหลบหลีกการตรวจจับในขั้นตอนการโจมตีมากขึ้น

Cloudflare Tunnel เป็นบริการสร้าง Outbound-only connection จากเครื่องผู้ใช้งานไปยังเครือข่ายของ Cloudflare ที่ช่วยเพิ่มความปลอดภัยและความรวดเร็วในการใช้งานบริการขององค์กร อย่างไรก็ตามแฮ็กเกอร์มีการใช้เส้นทางนี้ช่วยหลบหลีกการตรวจจับในขั้นตอนการโจมตีมากขึ้น เนื่องจากสามารถ Bypass การตรวจจับจาก Firewall ได้และช่วยให้สามารถหลบซ่อนตัวได้นานขึ้น วิธีการนี้ไม่ใช่วิธีการใหม่แต่อย่างใด โดย Phylum ได้มีการรายงานการโจมตีที่ใช้เทคนิคนี้มาแล้วเมื่อช่วงต้นปีที่ผ่านมา พบว่า PyPI package ที่ฝังมัลแวร์บางตัวมีการใช้เทคนิคนี้ในการซ่อนตัว

GuidePoint ได้ยกตัวอย่างการใช้งาน Tunnel ที่ผู้โจมตีสามารถสร้าง RDP และ SMB connection เพื่อเชื่อมต่อไปยังเครื่องเป้าหมายและเก็บข้อมูลจากเครื่องเป้าหมายออกมาได้ผ่าน Cloudflare Tunnel โดยมีการใช้งาน HTTPS Connection และส่งข้อมูลผ่าน QUIC ผ่านพอร์ท 7844 ทำให้ระบบ Firewall และ Network Protection Solution ละเลยการตรวจสอบการเชื่อมต่อนี้ โดยแฮ็กเกอร์สามารถสร้าง Tunnel บน Cloudflare ได้อย่างรวดเร็วผ่านทางบริการ TryCloudflare โดยที่ไม่จำเป็นต้องมีบัญชีแต่อย่างใด

GuidePoint ได้แนะนำให้ผู้ดูแลระบบเริ่มหันมาสอดส่องดูแลการใช้งาน Tunnel ในองค์กรมากขึ้น เนื่องจากอาจถูกใช้เพื่อหลบซ่อนการโจมตีได้ โดยอาจตรวจสอบการใช้งาน DNS query หรือพอร์ทอื่นๆที่เกี่ยวข้อง เช่น 7844 รวมทั้งตรวจสอบการใช้งาน Cloudflared Client ซึ่งเป็น Client สำหรับใช้งาน Cloudflare Tunnel ในเครื่องผู้ใช้งาน ที่ติดตั้งได้ทั้งบน Windows, Linux, macOS และ Docker

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-increasingly-abuse-cloudflare-tunnels-for-stealthy-connections/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …