黑客如何通过 Cloudflare 存储节点从被黑网络窃取数据

这绝非一次普通的网络入侵事件。针对马来西亚多家政府机构及至少一家私营企业的攻击行动，其周密性与隐蔽性远超普通机会主义黑客的常规操作。尤为值得警惕的是，攻击者采用了一种从被入侵网络静默窃取数据的新策略——此次，他们巧妙地隐藏在了全球广泛使用的Cloudflare服务背后。

安全研究人员近期披露了这起高级持续性威胁（APT）攻击，攻击者利用Cloudflare托管的存储节点作为“数据中转站”来转移窃取的文件，整个过程几乎未触发任何安全警报。这种操作手法，无疑为APT攻击的数据外传环节树立了一个新的“危险范例”。

高度定制化的攻击工具链

此次攻击活动的核心特点，在于其近乎“手工打造”的精密工具链。攻击者并未使用任何现成的、容易被安全软件检测的工具，而是为每个目标环境定制了专门的Python脚本。每个工具都在受控环境中执行特定任务，这种前期准备工作展现了真正的技术实力，也表明攻击者具备严格的行动纪律和明确的战术意图。

根据OASIS Security分析师提供给Cyber Security News（CSN）的威胁情报报告，攻击者控制的基础设施位于马来西亚西部区域的Microsoft Azure虚拟机。一个关键细节是，由于该攻击基础设施尚未被清理，留下了大量攻击工具，研究人员才得以清晰地逆向并还原整个攻击链条。

从数据库访问、内网横向移动测绘，到实时部署webshell和窃取凭证，整个攻击活动环环相扣。而整个行动的“隐蔽精髓”，在于攻击者最终使用Cloudflare存储节点作为窃取文件的接收端点。通过将外传数据流量混入正常的云服务活动，他们成功规避了多数网络监控与数据泄露防护（DLP）系统的检测。

已确认的攻击影响相当严重：包括域控制器凭证被盗、至少一台政府服务器上发现了活跃的webshell后门，以及针对某移动运营商客户验证平台的链式漏洞利用。这些发现共同指向一个结论：攻击者资源充足，且具备同时对多个高价值目标展开系统性、持续性网络攻击的能力。

利用Cloudflare存储节点隐蔽转移数据

攻击活动中最具“创新性”的环节，无疑是数据外传的方式。攻击者专门编写了一个名为gen_photo_upload.py的Python脚本，其核心功能就是将窃取的敏感文件上传至其控制的、由Cloudflare Workers或R2托管的存储节点。

这招极为高明。由于Cloudflare是全球广泛信任的CDN和云服务提供商，流向其服务的网络流量很少会像连接陌生或可疑IP地址那样，立即引发安全运营中心（SOC）团队的怀疑。这种技术，在业内常被称为“寄生或滥用可信服务”，近年来在高级威胁攻击者中日益流行，成为数据窃取的新手段。

通过合法云服务商来路由窃取的数据，攻击者成功地将恶意外联行为伪装成了常规的网络活动。对于那些没有严格检查“可信域名”外传流量具体内容与频率的企业或政府机构来说，这样的数据泄露通道可能长期潜伏而不被发现，造成持续性的信息损失。

该脚本属于一个模块化、高度定向的工具集的一部分，设计得非常专注，专门处理针对Cloudflare节点的文件传输逻辑，体现了攻击的针对性。

定制化C2工具与凭证窃取技术

整个事件调查中，最令人警觉的发现之一，是此前未公开的C#信标生成器和Python命令与控制（C2）监听器的源代码。这个名为beacon.cs的信标和listener_http.py控制器，均非基于任何公开的C2框架（如Cobalt Strike、Metasploit）开发。这直接表明，攻击者拥有自主开发能力，技术水平远超普通脚本黑客。

该信标通过与监听器进行HTTP(S)通信，在攻击者与受控主机之间建立了一条私有的、隐蔽的命令与控制通道。它在攻击基础设施上的存在，表明这套自研工具链已被用于多起攻击行动。开发并维护这样一套独立的、有效的C2框架，需要大量的网络安全专业知识和持续的开发资源支持，这通常是国家级APT黑客组织或高度专业化的网络犯罪团伙的特征。

在凭证窃取方面，攻击者下手精准且破坏力强。他们从至少一台域控制器中提取了关键的Windows注册表配置单元文件（包括SAM、SECURITY和SYSTEM文件）。后续发现的NTDS.dit转储文件也证实，Active Directory的整个目录数据库及密码哈希同样未能幸免。掌握了这些核心凭证哈希，攻击者理论上就获得了持续访问整个受影响域网络的能力，甚至可以在受害者重置部分用户密码后，利用保留的权限和哈希进行凭证传递攻击（PtT）或横向移动，重新建立控制。

因此，对于所有受影响的组织而言，当务之急是立即采取全面的应急响应措施：清除所有活跃的webshell、强制重置所有域级管理员及用户密码（而不仅仅是普通用户密码），并仔细进行威胁狩猎，检查攻击者可能遗留的任何后门或持久化痕迹，以彻底阻断其后续访问路径，防止再次入侵。

入侵指标（IoCs）:
（注：以下IP地址和域名已做无害化处理，例如将点号替换为[.]，以防止意外解析或点击。这些威胁指标仅在MISP、VirusTotal或SIEM等专业威胁情报平台中恢复原始格式后使用才有意义。）