Нов анализ на екипа TRACE в Bitsight показва, че residential proxy мрежите са много по-дълбоко вплетени в малуер екосистемата, отколкото се е смятало. Тези услуги пренасочват трафика през домашни и мобилни устройства, превръщайки обикновени потребителски IP адреси в прикритие за атаки, в модел, който затруднява традиционните защитни механизми. Данните от изследването разкриват мащаб, който променя разбирането за това как функционират ботнетите и комерсиалните прокси услуги.
TRACE анализира над 53 милиона уникални exit възли (nodes) в рамките на 55 дни, което е едно от най-големите емпирични изследвания върху подобни мрежи. Около една пета от тези възли показват активни припокривания с известна малуер инфраструктура, което означава, че значителна част от „легитимния“ прокси трафик всъщност преминава през компрометирани устройства. Това поставя residential proxy услугите в центъра на симбиоза между комерсиални платформи и ботнети, които се нуждаят от непрекъснат поток нови устройства.
По време на проучването една голяма прокси услуга е била свалена чрез координирана акция, а телеметрията на Bitsight е уловила целия процес в реално време. Данните показват, че инфраструктурата зад тези услуги е изключително устойчива и дори при директни удари тя се реорганизира бързо, което поставя под въпрос ефективността на традиционните тактики за прекъсване на подобни мрежи.
Изграждането на огромни IP пулове става чрез различни механизми. Част от потребителите доброволно инсталират „proxyware“ приложения, които продават неизползваната им честотна лента. Други се оказват въвлечени чрез безплатни мобилни приложения, VPN услуги или медийни плейъри, които съдържат прокси SDK модули. Има и по-структурирани модели като например наемане на големи блокове residential IP адреси от интернет доставчици. Най-проблемният слой обаче остава системното отвличане на устройства, което подхранва мрежите с нови възли без знанието на потребителите.
Най-голямата заплаха идва от механизма „въртящи се проксита“, при който атакуващите пренасочват автоматизирани атаки през милиони краткотрайни домашни IP адреси. Така трафикът изглежда като нормална активност, което обезсилва класическите защитни филтри. Анализът на Bitsight показва, че много от тези възли са едновременно част от комерсиални прокси услуги и заразени с малуер, което създава устойчива екосистема, трудна за разбиване.
Както отбелязва Валтер Сантос от Bitsight, „неутрализирането на заплахата изисква осветяване на инфраструктурата, която я поддържа“. Комбинацията от непрекъснато картографиране на прокси мрежите и корелация с малуер телеметрия може да помогне на организациите да отнемат най-ценния ресурс на атакуващите, а именно анонимността. Това е подход, който тепърва ще се превръща в ключов при модерните стратегии за защита.
