当前位置: 首页
业界动态
黑客如何通过 Cloudflare 存储节点从被黑网络窃取数据

黑客如何通过 Cloudflare 存储节点从被黑网络窃取数据

热心网友 时间:2026-05-21
转载

这绝非一次普通的网络入侵事件。针对马来西亚多家政府机构及至少一家私营企业的攻击行动,其周密性与隐蔽性远超普通机会主义黑客的常规操作。尤为值得警惕的是,攻击者采用了一种从被入侵网络静默窃取数据的新策略——此次,他们巧妙地隐藏在了全球广泛使用的Cloudflare服务背后。

安全研究人员近期披露了这起高级持续性威胁(APT)攻击,攻击者利用Cloudflare托管的存储节点作为“数据中转站”来转移窃取的文件,整个过程几乎未触发任何安全警报。这种操作手法,无疑为APT攻击的数据外传环节树立了一个新的“危险范例”。

高度定制化的攻击工具链

此次攻击活动的核心特点,在于其近乎“手工打造”的精密工具链。攻击者并未使用任何现成的、容易被安全软件检测的工具,而是为每个目标环境定制了专门的Python脚本。每个工具都在受控环境中执行特定任务,这种前期准备工作展现了真正的技术实力,也表明攻击者具备严格的行动纪律和明确的战术意图。

根据OASIS Security分析师提供给Cyber Security News(CSN)的威胁情报报告,攻击者控制的基础设施位于马来西亚西部区域的Microsoft Azure虚拟机。一个关键细节是,由于该攻击基础设施尚未被清理,留下了大量攻击工具,研究人员才得以清晰地逆向并还原整个攻击链条。

从数据库访问、内网横向移动测绘,到实时部署webshell和窃取凭证,整个攻击活动环环相扣。而整个行动的“隐蔽精髓”,在于攻击者最终使用Cloudflare存储节点作为窃取文件的接收端点。通过将外传数据流量混入正常的云服务活动,他们成功规避了多数网络监控与数据泄露防护(DLP)系统的检测。

已确认的攻击影响相当严重:包括域控制器凭证被盗、至少一台政府服务器上发现了活跃的webshell后门,以及针对某移动运营商客户验证平台的链式漏洞利用。这些发现共同指向一个结论:攻击者资源充足,且具备同时对多个高价值目标展开系统性、持续性网络攻击的能力。

利用Cloudflare存储节点隐蔽转移数据

攻击活动中最具“创新性”的环节,无疑是数据外传的方式。攻击者专门编写了一个名为gen_photo_upload.py的Python脚本,其核心功能就是将窃取的敏感文件上传至其控制的、由Cloudflare Workers或R2托管的存储节点。

这招极为高明。由于Cloudflare是全球广泛信任的CDN和云服务提供商,流向其服务的网络流量很少会像连接陌生或可疑IP地址那样,立即引发安全运营中心(SOC)团队的怀疑。这种技术,在业内常被称为“寄生或滥用可信服务”,近年来在高级威胁攻击者中日益流行,成为数据窃取的新手段。

通过合法云服务商来路由窃取的数据,攻击者成功地将恶意外联行为伪装成了常规的网络活动。对于那些没有严格检查“可信域名”外传流量具体内容与频率的企业或政府机构来说,这样的数据泄露通道可能长期潜伏而不被发现,造成持续性的信息损失。

该脚本属于一个模块化、高度定向的工具集的一部分,设计得非常专注,专门处理针对Cloudflare节点的文件传输逻辑,体现了攻击的针对性。

\

定制化C2工具与凭证窃取技术

整个事件调查中,最令人警觉的发现之一,是此前未公开的C#信标生成器和Python命令与控制(C2)监听器的源代码。这个名为beacon.cs的信标和listener_http.py控制器,均非基于任何公开的C2框架(如Cobalt Strike、Metasploit)开发。这直接表明,攻击者拥有自主开发能力,技术水平远超普通脚本黑客。

该信标通过与监听器进行HTTP(S)通信,在攻击者与受控主机之间建立了一条私有的、隐蔽的命令与控制通道。它在攻击基础设施上的存在,表明这套自研工具链已被用于多起攻击行动。开发并维护这样一套独立的、有效的C2框架,需要大量的网络安全专业知识和持续的开发资源支持,这通常是国家级APT黑客组织或高度专业化的网络犯罪团伙的特征。

在凭证窃取方面,攻击者下手精准且破坏力强。他们从至少一台域控制器中提取了关键的Windows注册表配置单元文件(包括SAM、SECURITY和SYSTEM文件)。后续发现的NTDS.dit转储文件也证实,Active Directory的整个目录数据库及密码哈希同样未能幸免。掌握了这些核心凭证哈希,攻击者理论上就获得了持续访问整个受影响域网络的能力,甚至可以在受害者重置部分用户密码后,利用保留的权限和哈希进行凭证传递攻击(PtT)或横向移动,重新建立控制。

因此,对于所有受影响的组织而言,当务之急是立即采取全面的应急响应措施:清除所有活跃的webshell、强制重置所有域级管理员及用户密码(而不仅仅是普通用户密码),并仔细进行威胁狩猎,检查攻击者可能遗留的任何后门或持久化痕迹,以彻底阻断其后续访问路径,防止再次入侵。

入侵指标(IoCs):
(注:以下IP地址和域名已做无害化处理,例如将点号替换为[.],以防止意外解析或点击。这些威胁指标仅在MISP、VirusTotal或SIEM等专业威胁情报平台中恢复原始格式后使用才有意义。)

来源:https://www.51cto.com/article/843741.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
星纪魅族曾洋回应魅友催更 2025年将推更多新机

星纪魅族曾洋回应魅友催更 2025年将推更多新机

星纪魅族副总裁曾洋回应魅友催促更新,透露新机研发正积极推进,2025年将推出更多新机及备受期待的机型。官网当前在售五款机型,从经典款到性能旗舰,全面覆盖不同用户需求与偏好,产品线持续丰富。

时间:2026-07-08 13:59
奥之心OM-3经典回归 三款新镜头同步发布

奥之心OM-3经典回归 三款新镜头同步发布

OMSYSTEMOM-3采用胶片单反复古设计,搭载计算摄影与色彩 单色配置控制功能,沿袭旗舰影像性能与五轴防抖系统。同期发布三款镜头,覆盖广角至超长焦焦段,共同构成兼具感性体验与实用性的摄影系统。

时间:2026-07-08 13:59
比亚迪闪充站一周新增288座,覆盖291城累计4885座

比亚迪闪充站一周新增288座,覆盖291城累计4885座

3月20日晚间,比亚迪集团品牌及公关处总经理李云飞公布最新数据:3月13日至19日一周内,比亚迪新建288座闪充站,累计建成闪充站总数达4885座,覆盖全国291座城市。这一扩张速度,确实令人惊叹。 更值得关注的是充电性能的重大突破。据比亚迪最新介绍,搭载第二代刀片电池的车型,可实现5分钟从10%电

时间:2026-07-08 13:58
讯飞鸿语Pro智能助听器上市,AI科技守护银发生活

讯飞鸿语Pro智能助听器上市,AI科技守护银发生活

科大讯飞推出智能助听器Pro“鸿语”系列,以AI技术解决传统助听器社交尴尬、噪音处理弱、验配复杂、佩戴不适四大痛点。产品具备时尚外观、动态降噪、星火智能验配系统及64通道精准补偿,实现“千人千耳”个性化适配,提升听损者生活品质。

时间:2026-07-08 13:58
Powerbeats Pro 2 发布 支持运动心率监测

Powerbeats Pro 2 发布 支持运动心率监测

Beats发布PowerbeatsPro2,首次加入运动心率监测,支持主动降噪、空间音频及动态头部追踪。耳挂采用镍钛合金加固,重量减轻20%,续航45小时,充电盒支持无线充电。售价2099元,2月13日开售。

时间:2026-07-08 13:58
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜