游乐游手机版
首页/业界动态/文章详情

黑客如何通过 Cloudflare 存储节点从被黑网络窃取数据

时间:2026-05-21 09:06
攻击者针对马来西亚机构发起高度定制化攻击,利用专门编写的Python脚本进行内网渗透,通过Cloudflare托管节点秘密外传数据,伪装成正常云服务以规避检测。攻击者使用自研控制工具并窃取域控凭证,显示出国家级或高度专业化团伙特征。建议受影响组织立即清除后门、重置所有域密码并全面检查网。

这绝非一次普通的网络入侵事件。针对马来西亚多家政府机构及至少一家私营企业的攻击行动,其周密性与隐蔽性远超普通机会主义黑客的常规操作。尤为值得警惕的是,攻击者采用了一种从被入侵网络静默窃取数据的新策略——此次,他们巧妙地隐藏在了全球广泛使用的Cloudflare服务背后。

安全研究人员近期披露了这起高级持续性威胁(APT)攻击,攻击者利用Cloudflare托管的存储节点作为“数据中转站”来转移窃取的文件,整个过程几乎未触发任何安全警报。这种操作手法,无疑为APT攻击的数据外传环节树立了一个新的“危险范例”。

高度定制化的攻击工具链

此次攻击活动的核心特点,在于其近乎“手工打造”的精密工具链。攻击者并未使用任何现成的、容易被安全软件检测的工具,而是为每个目标环境定制了专门的Python脚本。每个工具都在受控环境中执行特定任务,这种前期准备工作展现了真正的技术实力,也表明攻击者具备严格的行动纪律和明确的战术意图。

根据OASIS Security分析师提供给Cyber Security News(CSN)的威胁情报报告,攻击者控制的基础设施位于马来西亚西部区域的Microsoft Azure虚拟机。一个关键细节是,由于该攻击基础设施尚未被清理,留下了大量攻击工具,研究人员才得以清晰地逆向并还原整个攻击链条。

从数据库访问、内网横向移动测绘,到实时部署webshell和窃取凭证,整个攻击活动环环相扣。而整个行动的“隐蔽精髓”,在于攻击者最终使用Cloudflare存储节点作为窃取文件的接收端点。通过将外传数据流量混入正常的云服务活动,他们成功规避了多数网络监控与数据泄露防护(DLP)系统的检测。

已确认的攻击影响相当严重:包括域控制器凭证被盗、至少一台政府服务器上发现了活跃的webshell后门,以及针对某移动运营商客户验证平台的链式漏洞利用。这些发现共同指向一个结论:攻击者资源充足,且具备同时对多个高价值目标展开系统性、持续性网络攻击的能力。

利用Cloudflare存储节点隐蔽转移数据

攻击活动中最具“创新性”的环节,无疑是数据外传的方式。攻击者专门编写了一个名为gen_photo_upload.py的Python脚本,其核心功能就是将窃取的敏感文件上传至其控制的、由Cloudflare Workers或R2托管的存储节点。

这招极为高明。由于Cloudflare是全球广泛信任的CDN和云服务提供商,流向其服务的网络流量很少会像连接陌生或可疑IP地址那样,立即引发安全运营中心(SOC)团队的怀疑。这种技术,在业内常被称为“寄生或滥用可信服务”,近年来在高级威胁攻击者中日益流行,成为数据窃取的新手段。

通过合法云服务商来路由窃取的数据,攻击者成功地将恶意外联行为伪装成了常规的网络活动。对于那些没有严格检查“可信域名”外传流量具体内容与频率的企业或政府机构来说,这样的数据泄露通道可能长期潜伏而不被发现,造成持续性的信息损失。

该脚本属于一个模块化、高度定向的工具集的一部分,设计得非常专注,专门处理针对Cloudflare节点的文件传输逻辑,体现了攻击的针对性。

\

定制化C2工具与凭证窃取技术

整个事件调查中,最令人警觉的发现之一,是此前未公开的C#信标生成器和Python命令与控制(C2)监听器的源代码。这个名为beacon.cs的信标和listener_http.py控制器,均非基于任何公开的C2框架(如Cobalt Strike、Metasploit)开发。这直接表明,攻击者拥有自主开发能力,技术水平远超普通脚本黑客。

该信标通过与监听器进行HTTP(S)通信,在攻击者与受控主机之间建立了一条私有的、隐蔽的命令与控制通道。它在攻击基础设施上的存在,表明这套自研工具链已被用于多起攻击行动。开发并维护这样一套独立的、有效的C2框架,需要大量的网络安全专业知识和持续的开发资源支持,这通常是国家级APT黑客组织或高度专业化的网络犯罪团伙的特征。

在凭证窃取方面,攻击者下手精准且破坏力强。他们从至少一台域控制器中提取了关键的Windows注册表配置单元文件(包括SAM、SECURITY和SYSTEM文件)。后续发现的NTDS.dit转储文件也证实,Active Directory的整个目录数据库及密码哈希同样未能幸免。掌握了这些核心凭证哈希,攻击者理论上就获得了持续访问整个受影响域网络的能力,甚至可以在受害者重置部分用户密码后,利用保留的权限和哈希进行凭证传递攻击(PtT)或横向移动,重新建立控制。

因此,对于所有受影响的组织而言,当务之急是立即采取全面的应急响应措施:清除所有活跃的webshell、强制重置所有域级管理员及用户密码(而不仅仅是普通用户密码),并仔细进行威胁狩猎,检查攻击者可能遗留的任何后门或持久化痕迹,以彻底阻断其后续访问路径,防止再次入侵。

入侵指标(IoCs):
(注:以下IP地址和域名已做无害化处理,例如将点号替换为[.],以防止意外解析或点击。这些威胁指标仅在MISP、VirusTotal或SIEM等专业威胁情报平台中恢复原始格式后使用才有意义。)

来源:https://www.51cto.com/article/843741.html
上一篇Linux内存文件系统ramfs与tmpfs核心原理详解 下一篇酒店WiFi卡顿原因与提速技巧:限制排查和实用解决方案
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
爱心企业捐33万购350套路灯 无奈全是假货
业界动态 · 2026-07-01

爱心企业捐33万购350套路灯 无奈全是假货

7月1日消息,广东阳江阳春市近日有市民反映一起令人愤慨的事件——三年前,当地一家爱心企业定向捐赠给村庄的一批太阳能路灯,使用不久便陆续出现故障。经查,整批路灯均为假冒伪劣的“三无”产品。更令人担忧的是,已有村民因路灯损坏,夜间摸黑出行时不慎摔伤,暴露出严重的安全隐患。 这批路灯背后涉及阳春市志愿者联

Claude Sonnet 5发布部分性能逼近Opus 4.8
业界动态 · 2026-07-01

Claude Sonnet 5发布部分性能逼近Opus 4.8

7月1日,Anthropic发布ClaudeSonnet5,具备自主规划与调用浏览器、终端等工具的智能体能力。性能在BrowseComp等评测中大幅超越Sonnet4 6,部分任务接近Opus4 8。安全方面,不良行为发生率降低,抗提示注入与幻觉率均有改善。

寒武纪成科创板万亿市值,优必选发布仿生人形机器人,红米K90至尊版发布
业界动态 · 2026-07-01

寒武纪成科创板万亿市值,优必选发布仿生人形机器人,红米K90至尊版发布

寒武纪盘中涨7%,市值突破万亿,成科创板首支万亿股票,年内涨幅超75%。优必选发布仿生人形机器人U1系列,主打家庭情感陪伴,预定超1 1万台。REDMIK90至尊版手机发布,搭载骁龙8至尊版、8550mAh电池、100W快充及165Hz直屏。

官方辟谣韩红因冯小刚新片走个面言论道歉退出公益
业界动态 · 2026-07-01

官方辟谣韩红因冯小刚新片走个面言论道歉退出公益

这一事件的来龙去脉颇为耐人寻味——7月1日,韩红在冯小刚新作《抓特务》的宣传活动中,一句“北京兄弟姐妹爷们娘们走个面儿”的喊话迅速引爆热搜。表面听来是一句热情招呼,却意外成为全网热议的“道德绑架”焦点。到底是喊话过于直白,还是网友过于敏感?不妨一同回顾始末。事实上,韩红担任了《抓特务》的配乐制作人,

小米汽车连续三月交付超3万辆 上半年累计逾18万辆
业界动态 · 2026-07-01

小米汽车连续三月交付超3万辆 上半年累计逾18万辆

数字往往最具有说服力。小米汽车正式公布了2026年6月的交付成绩——单月交付量继续稳定在3万辆以上,市场热度丝毫未减。尽管官方公告依然保持了简洁的风格,主要向用户的信赖与支持表达了谢意,但对于关注这个品牌的人来说,其中蕴含的信息已经足够清晰。将上半年的数据串联起来看,小米汽车的整体表现脉络相当清楚: