Mevcut siber güvenlik çağında, tehdit aktörleri aktif olarak ağlardan yararlanmak için yaratıcı ve yeni yöntemler benimsiyor. Bazıları artık tanıdık araçlar kullanırken, anti-virüs, Cloudflare ve EDR çözümleri gibi geleneksel savunmalardan kaçınarak algılama olasılıklarını azaltır.
Güvenliği ihlal edilmiş cihazlardan, bilgisayar korsanları Tünelleri aşağıdaki amaçlar için aktif olarak kullanıyor:-
- Gizli HTTPS bağlantıları
- Güvenlik duvarlarını atla
- Uzun vadeli kalıcılığı koruyun
Ocak 2023’ün başlarında tehdit aktörleri, veri hırsızlığı ve uzaktan cihaz erişimi için kötü amaçlı PyPI paketleri aracılığıyla Tünellerden yararlandı, bu da bu tekniğin yeni olmadığı anlamına geliyor.
GuidePoint’in DFIR ve GRIT ekipleri, saldırganların Tünel (Cloudflare) kullanımını içeren son çatışmaları ele aldı.
Cloudflare Tunnel, HTTPS aracılığıyla Uç Sunuculara giden bağlantılar kurarak hizmetleri yapılandırma değişiklikleri yoluyla erişilebilir hale getirir.
Bunun dışında, aşağıdaki hizmetlere harici erişim, Cloudflare’nin Sıfır Güven panosu aracılığıyla kolaylaştırılır:-
Cloudflare Tünellerinden Yararlanma
CloudFlare Tünelleri, web sunucuları veya uygulamaları için Cloudflare’e giden güvenli bağlantılara ve tüneli oluşturan aşağıdaki platformlarda Cloudflare istemcilerinin yüklenmesine olanak tanır:-
- linux
- pencereler
- Mac os işletim sistemi
- Liman işçisi
Aşağıda Cloudflare Tünelleri tarafından sağlanan tüm hizmetlerden bahsetmiştik: –
- Giriş kontrolu
- Ağ geçidi kurulumları
- Analitik
- Takım yönetimi
Bahsedilen tüm bu yetenekler, maruz kalan hizmetler üzerinde yüksek kullanıcı kontrolü sağlar. Kurbanın cihazından gelen tek bir komut, saldırganın tünel belirteci aracılığıyla gizli iletişim kurarak gerçek zamanlı yapılandırma değişikliklerine izin verir.
Tünel güncellemeleri, Pano yapılandırma değişikliklerini takip ederek tehdit aktörlerinin işlevsellik etkinleştirme ve devre dışı bırakmayı kontrol etmelerini sağlar.
Tehdit aktörleri, veri toplama için RDP’yi etkinleştirebilir, ardından tespit ve etki alanı gözleminden kaçınmak için devre dışı bırakabilir.
7844 numaralı bağlantı noktasındaki QUIC aracılığıyla HTTPS bağlantısı ve veri alışverişi, varsayılan güvenlik duvarları tarafından tespit edilmekten kaçınır.
Saldırganlar, hesap oluşturmadan tek seferlik tüneller için Cloudflare’nin ‘TryCloudflare’ özelliğini kullanabilirken, bu daha gizli bir yaklaşımdır.
Cloudflare Tünelleri kullanım adımları
Saldırganların kötü amaçlı eylemlerini Cloudflared aracılığıyla gerçekleştirmek veya yürütmek için izledikleri üç adım vardır.
Aşağıda, Tünellerin kullanım adımlarından bahsetmiştik: –
- Kurban Makinesinde Tünel Oluşturma Yoluyla Token Oluşturun.
- Yürütülebilir Dosyayı Çalıştırmak için Erişim Gerekli.
- Kurban Erişimi için Tünele İstemci Bağlantısı.
Ayrıca güvenlik analistleri, Cloudflare’nin “Özel Ağlar” özelliğinin, bir saldırganın kurbanın tüm dahili IP adres aralığına tünel erişimi verme olasılığının kötüye kullanıldığını da doğruladı.
Öneri
GuidePoint araştırmacıları, kuruluşlara belirli DNS sorgularını izleyerek ve 7844 gibi standart olmayan bağlantı noktalarını kullanarak yetkisiz Tünel kullanımını izlemelerini tavsiye etti.
Ek olarak, kurulum gerektiğinden ‘cloudflared’ istemci sürümlerinin dosya karma değerleri izlenerek Tünel kullanımı tespit edilebilir.
Yasal kullanıcılar, bu yaklaşım tünel tespitine yardımcı olduğundan, yetkisiz hedefleri hedefleyen Cloudflared tünellerini işaretleyerek hizmetleri seçilen veri merkezleriyle sınırlayabilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.