Исследователи предупреждают, что резидентные прокси, используемые для маршрутизации вредоносного трафика, представляют серьезную проблему для систем репутации IP-адресов, поскольку отсутствует четкое разграничение между злоумышленниками и легитимными пользователями.
Это происходит потому, что резидентные прокси слишком недолговечны, неучаствуют в длительных сессиях или систематически ротируются, что не позволяет системам защиты каталогизировать их вовремя.
Платформа кибербезопасности GreyNoise пришла к такому выводу после анализа огромного набора данных, включающего 4 миллиарда вредоносных сессий, нацеленных на периметр в течение трехмесячного периода.
Приблизительно 39% этих сессий, по-видимому, исходят из домашних сетей, что, скорее всего, является частью резидентных прокси, но 78% из них невидимы для фидов репутации.
«Данные выявляют закономерность, которая ставит под сомнение основное допущение сетевой защиты: что можно отличить злоумышленников от легитимных пользователей по источнику трафика», — объясняет GreyNoise.
По данным компании, большинство резидентных IP-адресов используются один или два раза, а затем исчезают, поскольку злоумышленники ротируют их другими, поддерживая темп на уровне, который не вызывает срабатывания систем репутации.
Около 89,7% резидентных IP-адресов активны во вредоносных операциях менее месяца, при этом только 8,7% существуют 2 месяца, и 1,6% сохраняются в течение 3 месяцев.
Те, что остаются активными дольше, по мнению исследователей, имеют определенную специализацию: они сфокусированы на SSH и используют стеки TCP в Linux.
Разнообразие является еще одним фактором, усложняющим пометку и блокировку, поскольку данные GreyNoise показывают, что резидентные IP-адреса, участвующие в атаках, принадлежат 683 интернет-провайдерам.
Другая причина их скрытности заключается в том, что они в основном используются для сканирования сети и разведки, при этом только 0,1% вовлечены в фактические эксплойты, отмечают исследователи.
Небольшой процент (1,3%) нацелен на страницы входа в корпоративные VPN, в то время как в некоторых ограниченных случаях резидентные IP-адреса также использовались для попыток обхода пути (path traversal) и подбора учетных данных (credential stuffing).
Что касается источников резидентных прокси, GreyNoise заявляет, что Китай, Индия и Бразилия являются основными поставщиками, при этом трафик с этих IP-адресов следует суточным циклам сна людей, снижаясь на треть ночью, когда большинство людей отключают свои устройства.
Исследователи сообщают, что трафик резидентных прокси генерируется двумя различными, непересекающимися экосистемами: ботнетами Интернета вещей (IoT) и зараженными компьютерами.
В случаях, связанных с последними, прокси поступают из SDK в бесплатных VPN, блокировщиках рекламы и аналогичных приложениях, которые включают устройства пользователей в схемы продажи пропускной способности.
GreyNoise также подчеркнула устойчивость этих сетей на примере IPIDEA, одной из крупнейших в мире сетей резидентных прокси, которая недавно была нарушена группой Google Threat Intelligence Group (GTIG) и партнерами.
Это вмешательство сократило их пул прокси примерно на 40%, но в последующий период наблюдался рост трафика из дата-центров, что указывает на то, что спрос может быть поглощен другими при необходимости, и потерянная емкость быстро восполняется.
GreyNoise утверждает, что тактики уклонения резидентных прокси требуют отказа от репутации IP-адресов в качестве основного сигнала и сосредоточения внимания на поведении.
Исследователи предлагают обнаруживать последовательное зондирование с ротирующихся резидентных IP-адресов, блокировать явно нелегитимные протоколы, такие как SMB, из пространства интернет-провайдеров и отслеживать отпечатки устройств, которые сохраняются при ротации IP-адресов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
