Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Опасность proxyware в корпоративной сети | Блог Касперского

Опасность proxyware в корпоративной сети | Блог Касперского

Что такое proxyware и какую опасность представляет для корпоративной безопасности.

Представьте, что кто-то обещает платить небольшие деньги в обмен на необременительную нагрузку вашего интернет-канала. Компьютер и так все время включен, Интернет безлимитный, почему бы не согласиться? Особенно если эксплуатировать не личные ресурсы, а технику и канал работодателя.

Однако если изучить вопрос подробнее, выяснится, что человек, согласившийся на установку клиента proxyware на рабочий компьютер, подвергает корпоративную сеть неоправданно большому риску, несоизмеримому с потенциальным доходом. Скажем прямо: ни один сомнительный способ заработка в Интернете не сопровождается таким богатым ассортиментом самых неприятных последствий, как этот. В этом посте мы расскажем, почему proxyware — это опасно.

Что такое proxyware?

Относительно свежий термин был недавно введен исследователями компании Cisco Talos, которые в своем отчете подробно разобрали это явление. Работают сервисы proxyware так: некто устанавливает на настольный компьютер (или смартфон) программное обеспечение, которое по сути является прокси-сервером. В результате его соединение с Интернетом становится доступно третьей стороне. В зависимости от того, как долго программа остается включенной и какую ширину канала ей позволили использовать, клиенту начисляются очки, которые со временем можно конвертировать в реальные деньги и вывести их на банковский счет.

Конечно, далеко не всегда такие сервисы применяются для чего-то противоправного — у них есть вполне легитимные способы применения. Например, в них могут быть заинтересованы отделы маркетинга крупных сетевых компаний, которым нужно как можно большее количество «точек входа» в Сеть в разных регионах мира.

Почему proxyware на рабочем компьютере — это плохая идея

Хотя сервисы такого рода заявляют об абсолютной безобидности действий «арендаторов» канала, проблемы все же иногда случаются. И вот в чем они могут заключаться.

Пессимизация IP-адреса

Самая распространенная проблема, которая может возникнуть в связи с работой proxyware, заключается в том, что на половине сайтов в Интернете пользователям компьютера (а скорее, всей сети, если она имеет общий IP-адрес) приходится через раз вводить «капчу»: Интернет все чаще подозревает, что компьютер с proxyware на борту — робот. И, надо сказать, подозревает вполне обоснованно.

Происходит это из-за того, что кто-то из арендаторов канала может сканировать через компьютер с proxyware сеть или измерять скорость доступа к сайту регулярным большим количеством запросов. А это не нравится автоматическим системам для защиты от DDoS. Впрочем, это может быть признаком чего-то еще более сомнительного, например рассылки спама.

Причем необходимость ввода «капчи» — это эффект, видимый пользователю. Для компании последствия могут быть гораздо более неприятными: потоки автоматизированных запросов могут стать причиной помещения корпоративного IP-адреса в списки ненадежных. Если на том же адресе работает, например, почтовый сервер, то вполне возможно, что в какой-то момент сообщения всех сотрудников перестанут доходить до внешних адресатов. Другие почтовые серверы просто начнут блокировать IP и домен компании.

Поддельные клиенты proxyware

Еще один риск связан с тем, что сотрудник, пытающийся установить proxyware, вообще может скачать совсем не то, что собирался. Для эксперимента зайдите в Google, наберите что-нибудь типа honeygain download, и вы получите пару ссылок на официальный сайт разработчика и еще три сотни — на файловые помойки, из которых половина зарабатывает на рекламных баннерах, а другая половина — на распространении софта «с довеском».

Исследователи подробно описывают один такой «троянизированный инсталлятор»: он и официальный клиент устанавливает, и программу для майнинга криптовалют (которая будет пожирать ресурсы ПК и электроэнергию), и инструмент для связи с командным центром киберпреступников, с которого в любой момент может быть загружено что угодно еще.

Установка такого варианта proxyware может привести к краже данных, остановке работы всей IT-инфраструктуры компании, шифрованию данных с последующим требованием выкупа. То есть proxyware — это настоящий ящик Пандоры, содержащий в себе огромное количество опасностей для бизнеса.

Установка proxyware без спроса

Есть и обратный вариант: где-то в темных закоулках Интернета сотрудник вашей компании ловит настоящий зловред, который устанавливает модифицированный клиент proxyware на компьютер. В результате ваш канал кто-то сдает в аренду, а деньги за это получает вообще непонятно кто. Вам же достаются только проблемы: тормозящий компьютер, съеденная пропускная способность сетевого подключения, а возможно, и украденные персональные данные.

Рекомендации для бизнеса

Главным инструментом борьбы с откровенно криминальной эксплуатацией proxyware является надежное антивирусное решение на каждом компьютере, имеющем выход в Интернет. Вредоносные компоненты, распространяемые киберпреступниками под видом proxyware, вместе с этим ПО или даже вместо него, будут выявлены, а их исполнение заблокировано.

Однако условно легитимные варианты proxyware не многим лучше. Грамотная политика безопасности должна исключить установку proxyware и другого сомнительного ПО на компьютере сотрудника, причем неважно, стоит ли он в офисе или подключается к корпоративному VPN. А большей части сотрудников вообще не нужна возможность самостоятельно устанавливать на компьютеры какое-либо ПО.


Источник: Лаборатория Касперского

20.11.2021