GuidePoint网络安全研究人员发布的一份报告称，一种涉及滥用合法Cloudflare功能来窃取人们数据并保留在受感染端点上的黑客方法越来越受欢迎。

被滥用的功能称为Cloudflare隧道，它允许用户为Web服务器和应用程序创建与Cloudflare网络的安全、仅限出站的连接。设置很简单，配置也很广泛，因为用户可以获得大量的访问控制、网关配置、团队管理和用户分析。

一旦建立，隧道就会暴露在互联网上，并且可以用于不同的事情，例如共享资源等。

然而，2023年1月，Phylum的网络安全研究人员发现一些黑客创建了恶意PyPI包，这些包使用该工具在雷达下远程窃取数据或访问端点。只需来自受害者端点的一个命令即可创建攻击者完全控制的谨慎通信通道。

现在，GuidePoint认为，使用这种技术进行数据泄露和在目标设备上建立持久性的情况已显着增加。

研究人员表示：“Cloudflare仪表板中的配置更改后，隧道就会立即更新，从而允许TA仅当他们想要在受害计算机上进行活动时启用功能，然后禁用功能以防止其基础设施暴露。”“例如，TA可以启用RDP连接，从受害计算机收集信息，然后在第二天之前禁用RDP，从而降低检测到的机会或观察用于建立连接的域的能力。”

研究人员表示，发现黑客滥用Cloudflare隧道的最佳方法是密切关注报告中共享的特定DNS查询，并使用非标准端口。此外，鉴于CloudflareTunnel需要cloudflared客户端，IT团队可以通过跟踪与客户端版本相关的文件哈希来检测其使用情况。