Araştırmacılar, siber suçluların hain faaliyetlerini gizlemek ve anonimleştirmek için Cloudflare Tunnel’e geçtiğini keşfetti.
Cloudflare Tunnel, herkese açık olarak yönlendirilebilen bir IP adresi olmadan kaynaklarınızı Cloudflare’a bağlamanız için güvenli bir yol sunar. Siber suçlular, faaliyetlerinin tespit edilmesini önlemek için bu hizmeti giderek daha fazla kullanıyor.
Yürütülebilir adı Cloudflared olarak da bilinen Cloudflare Tunnel, HTTPS(HTTP2/QUIC) üzerinden bir giden bağlantı oluşturarak Cloudflare Edge Sunucularına ulaşır; burada tünel denetleyicisi hizmetleri veya özel ağları Cloudflare konsol yapılandırma değişiklikleri aracılığıyla erişilebilir kılar. Dış kaynakların SSH (Güvenli Kabuk), RDP (Uzak Masaüstü Protokolü), SMB (sunucu İleti Bloğu) ve diğerleri dahil olmak üzere önemli hizmetlere doğrudan erişmesine izin vermek için kullanılır.
Araştırmacılar, siber suçluların muhtemelen ücretsiz olarak çok daha fazla kullanılabilirlik sağlaması nedeniyle ngrok kullanmaktan Cloudflare Tunnel’e geçtiğini keşfettiler. Bir saldırganın, bir dayanak noktası oluşturması ve bir dayanak noktası elde ettikten sonra başka operasyonlar yürütmesi için kurban makineden tek bir komut yürütmesine izin verir.
Tünel kurulduktan sonra, Cloudflared yapılandırmayı alır ve çalışan süreçte tutar. Gizli iletişim kanalı keşfedildiğinde kurbanın bulabileceği tek şey, onları daha akıllı hale getirmeyecek benzersiz bir tünel belirteci olacaktır. Ancak saldırgan, tünel yapılandırmasını anında kolayca değiştirebilir.
Bu araç, her büyük işletim sisteminde desteklenen meşru bir ikili dosya olduğundan ve ilk bağlantı, Cloudflare’a ait altyapıya giden bir HTTPS bağlantısı aracılığıyla başlatıldığından, bu yöntem siber suçlular arasında daha da popüler hale gelebilir. Onlara, ihtiyaç duyduklarında kararlılık göstermeleri ve ihtiyaç duymadıklarında ortaya çıkmamaları için kapatmaları için bir araç sağlar.
HTTPS bağlantısı ve veri alışverişinin gerçekleştiği bağlantı noktası (7844 numaralı bağlantı noktasındaki QUIC) nedeniyle, özel olarak talimat verilmedikçe güvenlik duvarları gibi koruma yazılımları tarafından alınması olası değildir.
Bu yeterince endişe verici değilmiş gibi, araştırmacılar, tek bir istemciye (kurban) bir tünel oluşturduktan sonra, Cloudflare’nin “Özel Ağlar” özelliğini, tüm dahili IP adreslerine uzaktan erişmek için kötüye kullanabileceklerini keşfettiler.
Azaltma
Araştırmacılar, kurban makinede bağlanmaya çalışılmadan önce RDP ve SMB’nin etkinleştirilmesi gerektiğini belirtiyor. Dolayısıyla, bunlara ihtiyacınız yoksa, bu onları devre dışı bırakmak için başka bir iyi nedendir.
Araştırmacılar, Cloudflare Tünellerinin yetkisiz kullanımını tespit etmek için kuruluşların belirli DNS sorgularını izlemelerini (raporda paylaşıldığı gibi) ve 7844 gibi standart olmayan bağlantı noktalarını kullanmalarını önermektedir.
Diğer, daha genel öneriler şunlardır:
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE