利用Cloudflare 零信任进行C2通信及防护

本文来源自平安银河实验室

作者：fl4nker27

>>>> 0x01 概述

什么是ZeroTrust（零信任安全）？

零信任安全是一种IT安全模型，要求对尝试访问专用网络上的资源的每个人和设备进行严格的身份验证，无论他们是位于网络边界内部还是外部。ZTNA（ZeroTrust Network Access，零信任网络访问）是与零信任架构相关的主要技术，但零信任是一种全面的网络安全方法，它结合了几种不同的原则和技术。———Cloudflare

如其所定义一样，ZeroTrust(零信任安全)是一种IT安全模型，它结合了好几种不同的安全原则和技术。比如，Tunnel提供对私有网络的访问，应用策略对客户端进行访问控制，SSO提供对资源访问的统一认证，安全网关可进行病毒查杀、流量审计，还有日志服务对所有的请求进行记录、分析等。

Tunnel工作原理

使用Cloudflare隧道，无需将流量发送到外网IP，而是在主机上运行一个轻量级守护程序，该守护程序只与Cloudflare边缘网络创建出站连接，该主机可访问Cloudflare边缘网络即可。

Cloudflare Tunnel与用户帐户中的DNS记录一一对应，对特定域名的请求首先到达Cloudflare的边缘网络，然后Cloudflare边缘网络通过隧道将这些请求发送到源服务器

示意图如下：

wget -q https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb && dpkg -i cloudflared-linux-amd64.deb

cloudflared tunnel login

3. 创建隧道

cloudflared tunnel create <隧道名>

运行此命令将以提供的名称创建一个隧道，同时会生成一个UUID与该隧道进行关联。记下隧道的 UUID 和隧道凭据文件的路径。

e.g

确认隧道是否创建成功

cloudflared tunnel list

4. 创建配置文件

在默认Cloudflared配置文件目录中创建对应的配置文件。该配置文件将配置隧道将指定源的流量路由至你指定的主机名上。

语法：

url: http://localhost:8000tunnel: <Tunnel-UUID>credentials-file: /root/.cloudflared/<Tunnel-UUID>.json

e.g

5. 流量路由

配置一个CNAME记录，将对应子域名的流量定向到隧道。

路由单个应用

cloudflared tunnel route dns <UUID or NAME> <hostname>

e.g

cloudflared tunnel run <隧道名或UUID>或cloudflared tunnel --config /path/your-config-file.yaml run

7.检查隧道

cloudflared tunnel info <隧道名或UUID>

8.测试

Web访问正常

二、图形化方式配置

登录Cloudflare，进入ZeroTrust主页

现在内网的端口是转发出来了，但是还存在一个问题。比如这里如果域名被扫描器扫到了，那么我们的CS服务器就会被暴露，可能会被标记，这是我们不可接受的。这里就需要利用到Cloudflare ZeroTrust的另一功能。

>>>> 0x03 ZeroTrust授权配置

正如Cloudfalre对其ZeroTrust的描述一样零信任安全是一种 IT 安全模型，要求尝试访问专用网络上的资源的每个人和设备进行严格的身份验证，无论他们是位于网络边界内还是外部。Cloudflare ZeroTrust可以给服务添加强制认证。

1. 生成Service Token

隧道配置完成之后，第一步先生成Service Token。Cloudfalre ZeroTrust控制面板处，访问【Access】-【Service Auth】，创建Service Token

2. 配置应用

然后，Cloudfalre ZeroTrust控制面板，访问【Access】-【Application】，选择添加应用Add an application，选择Self-hosted。

3. 测试

完成之后，再次访问转发出来的域名，则需要进行访问控制校验。

添加Service Token后，再次访问，可以访问资源但是还需要进行二次认证。

4. CobaltStrike上线

修改CobaltStrike profile，在所有的Client HTTP请求（http-get、http-post、http-stager）配置块中加入对应的Service Token请求头。

成功上线。

>>>> 0x04 总结

本文介绍了Cloudflare ZeroTrust功能。Cloudfalre Tunnel可将内网服务，或公网服务但不开放防火墙的情况下开放至公网，同时利用Zero Trust功能对其进行访问控制及认证，可极大程度地保证对私有服务访问的安全性。

另外，还详细记录了利用ZeroTrust进行CobaltStrike上线，并为其Listener添加“认证机制”的配置过程。

最后，目前只对Cloudflare tunnel功能针对HTTP协议进行了研究实验，其他协议如SOCKS，甚至于对私有网络的转发还需进一步研究。

>>>> 0x05 参考

https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/

https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/tunnel-guide/local/local-management/ingress/#notlsverify

https://0xsp.com/offensive/red-ops-techniques/abuse-cloudflare-zerotrust-for-c2-channels/

原文始发于微信公众号（平安集团安全应急响应中心）：利用Cloudflare 零信任进行C2通信及防护