Устранение бизнес-рисков, связанных с домашними прокси

Что такое домашний прокси и как отследить идущие через него атаки на организацию

Каждый день миллионы обычных частных пользователей Интернета вольно или невольно предоставляют свой компьютер, смартфон или домашний роутер посторонним. Они устанавливают на свои устройства proxyware — прокси-сервер, принимающий интернет-запросы этих посторонних и транслирующий их дальше в Интернет, к целевому серверу. Доступ к proxyware обычно предоставляют специализированные поставщики, которых мы дальше в статье будем называть ПДП (провайдеры домашних прокси). Иногда услугами таких ПДП компании пользуются вполне сознательно, но чаще появление их на рабочих компьютерах связано с нелегальной активностью.

ПДП конкурируют между собой, хвастаясь разнообразием и количеством доступных для клиентов IP-адресов, счет которых идет на миллионы. Этот рынок фрагментирован, непрозрачен и создает для организаций и их ИБ-команд специфический набор рисков.

Зачем применяются домашние прокси

Времена, когда Интернет был один для всех, давно прошли: крупные онлайн-сервисы адаптируют контент к региону, из которого пришел конкретный запрос, многие сайты фильтруют контент, отсекая целые страны и континенты, функции одного сервиса для разных стран могут отличаться, и так далее. Изучить, настроить или обойти такие фильтры как раз позволяют домашние прокси. ПДП часто приводят в своей рекламе такие варианты применения сервиса: исследование рынка (отслеживание цен конкурентов и тому подобное), верификация показа рекламы, сбор открытой информации (web scraping), в том числе для тренировки ИИ, анализ поисковой выдачи, и так далее.

Конечно, что все это выполнимо при помощи коммерческих VPN и прокси на базе дата-центров. Но многие сервисы умеют детектировать VPN по известным IP-диапазонам дата-центров или эвристически, а вот домашний прокси определить гораздо сложнее. Ведь он, в конце концов, работает на настоящем домашнем компьютере.

О чем не пишут на сайтах ПДП, так это о сомнительных и откровенно вредоносных активностях, в которых систематически применяются домашние прокси. Среди них:

• проведение атак с перебором паролей, в том числе password spraying, как в недавнем взломе Microsoft;
• проникновение в организацию при помощи легитимных учетных данных — домашний прокси из нужного региона предотвращает срабатывание эвристических правил подозрительного входа;
• заметание следов кибератаки — сложнее отследить и атрибутировать источник вредоносной активности;
• мошеннические схемы с кредитными и подарочными картами. Применение домашних прокси позволяет обойти систему борьбы с мошенническими оплатами (antifraud);
• проведение DDoS-атак. Например, большая серия DDoS-атак в Венгрии была отслежена до ПДП White Proxies;
• автоматизация спекуляций, таких как массовая скоростная скупка дефицитных билетов на мероприятия или коллекционных товаров (sneaker bots);
• мошенничество в маркетинге — накрутки рекламы, реакций в соцсетях, и так далее;
• рассылка спама, массовая регистрация аккаунтов;
• сервисы по обходу CAPTCHA.

Серый рынок proxyware

Ситуация с домашними прокси сложна, потому что на этом рынке и продавцы, и покупатели, и участники, бывают как абсолютно легитимные (добровольные, соблюдающие лучшие практики), так и откровенно незаконные. У некоторых ПДП есть официальные веб-сайты с подробной информацией, реальным адресом, рекомендациями крупных клиентов, и так далее. Другие ПДП рекламируются на хакерских форумах и в даркнете, а заказы принимают в Telegram. Но даже легальные на первый взгляд провайдеры зачастую вообще не проверяют личность клиентов и затрудняются подробно отчитаться о происхождении своих «нод», то есть домашних компьютеров и смартфонов, на которых установлено proxyware. Иногда это связано с тем, что некоторые ПДП покупают инфраструктуру у субподрядчиков и о происхождении прокси не знают сами.

Откуда берутся домашние прокси

Перечислим основные источники поступления новых нод в сеть домашних прокси — от самого благополучного к самому неприятному.

• Специальные приложения «заработай на своем Интернете». Пользователю предлагают добровольно запустить proxyware на компьютере или смартфоне, чтобы предоставлять другим доступ в Интернет, когда компьютер и канал связи мало загружены. За это пользователю ежемесячно выплачиваются деньги. Хотя этот способ наиболее честный из всех перечисленных, даже здесь есть сомнения в том, что пользователям в достаточной мере объясняют, что будет происходить на их компьютерах и смартфонах.
• Приложения или игры с монетизацией через proxyware. Издатель игры или приложения встраивает в нее компоненты одного из ПДП. Далее издатель получает от ПДП деньги за весь объем трафика, который удалось передать через игроков. В идеальном мире пользователю или игроку показывают специальное окно с предложением запустить proxyware, и он может отказаться, например смотреть вместо этого рекламу или заплатить деньги за приложение. На практике, конечно, выбор пользователю дают не всегда, да и проинформировать его «забывают».
• Подпольная установка proxyware. Какое-то приложение или живой злоумышленник могут установить на компьютер или смартфон приложение или библиотеку ПДП, не спрашивая разрешения у владельца устройства. Владелец, впрочем, при определенной удаче может заметить это новшество и относительно легко его удалить.
• Вредоносное ПО. Вариант похож на предыдущий тем, что владельца компьютера или смартфона вообще ни о чем не спрашивают, а отличается более сложной процедурой удаления. Криминальное proxyware применяет всевозможные для зловредов методы закрепления в системе и скрытия своей активности. Более того, иногда зловред самостоятельно заражает доступные по локальной сети дополнительные устройства.

Как учесть риски proxyware в ИБ-политике организации

Заражение организации proxyware. Довольно часто один или несколько компьютеров в организации могут проявлять proxyware-активность. Распространенный и относительно безобидный сценарий: сотрудник установил на рабочий компьютер бесплатную программу, а к ней «в нагрузку» шло proxyware. Компания в этом сценарии не только оплачивает паразитный интернет-трафик, но и рискует попасть в различные бан-листы, если с компьютера будет исходить вредоносная активность. В особо тяжелых случаях придется доказывать правоохранительным органам, что в фирме не окопались хакеры.

Но ситуация может оказаться и более непростой — в случае если компьютер сотрудника оказывается заражен ВПО, а установка proxyware является только одним из действий, совершенных преступниками. Чаще всего proxyware идет бок о бок с майнингом — попытками монетизации доступа в компанию, если другие варианты показались менее прибыльными или уже были отработаны. Поэтому, обнаружив proxyware, нужно детально исследовать доступные логи, чтобы понять пути его установки и идентифицировать другую активность атакующих.

Для снижения риска заражения ВПО, включая proxyware, рекомендуется использовать на рабочих компьютерах и смартфонах allowlisting, запрещающий установку и запуск не авторизованных IT-отделом приложений. Если такая жесткая политика невозможна, как минимум известные библиотеки и приложения proxyware надо добавить в denylist вашего EPP/EDR.

Дополнительным слоем защиты будет запрет для всей внутренней сети коммуникаций с известными управляющими серверами proxyware. Для качественной реализации этих политик потребуется доступ к источникам Threat Intelligence, чтобы регулярно обновлять правила новыми данными.

Атаки на компанию по техникам credential stuffing и password spraying с применением proxyware. Злоумышленники все чаще пытаются арендовать домашние прокси в регионе, близком к офису атакуемой организации. Это делает менее эффективными правила защитных инструментов, основанных на необычной геолокации удаленного пользователя. Ну а быстрый перебор прокси позволяет обойти простые ограничения числа попыток, связанные с IP-адресом. Чтобы быстрее замечать подобные атаки и реагировать на них, необходимы правила, срабатывающие на общий рост неудачных попыток входа в системы компании. Помогут и правила, определяющие такие нехарактерные действия пользователя, как быстрая многократная смена IP и неудачные попеременные попытки входа в несколько разных приложений. Для организаций, внедривших многофакторную аутентификацию, эффективны также правила, срабатывающие на быстрый многократный запрос второго фактора — это может быть индикатором параллельно проводимой атаки MFA fatigue. Реализовать подобную детектирующую логику удобнее всего на базе платформы SIEM или XDR, если она уже внедрена в компании.

Применение прокси для целей бизнеса. Если организации необходимо самой применять домашние прокси для решения легитимных задач, например тестирования веб-сайтов, важно приложить максимум усилий при отборе и проверке подрядчика (то есть ПДП). Первоочередными факторами при выборе должны стать: юридическая чистота компании; наличие у нее сертификатов и документов, подтверждающих соблюдение законодательства в сфере обработки и хранения информации для всех регионов присутствия; наличие технической документации по вопросам безопасности и способность предоставить детальную информацию о происхождении используемых в сети компьютеров-прокси. Стоит избегать компаний, которые не проводят идентификацию своих клиентов, принимают оплату в криптовалютах, а также фирм, зарегистрированных в юрисдикциях без четкого регулирования интернет-компаний.

11.04.2024