Residential Proxies als Wegbereiter für Cyberkriminalität
Residential Proxies gehören zu den neuesten Methoden, die Cyberkriminelle nutzen, um sich an bessere Abwehrstrategien anzupassen. Wir haben untersucht, wie die Proxies auf einem mit dem Internet verbundenen Gerät Täter bei ihren Aktivitäten unterstützen.
Save to Folio
Wichtigste Erkenntnisse:
- Residential-Proxy-Anbieter stellen Millionen von IP-Adressen mit präzisen Standortdaten zur Verfügung, mit denen Cyberkriminelle gezielte Angriffe durchführen und Antifraud- sowie IT-Sicherheitssysteme von Unternehmen, Behörden und E-Commerce-Websites umgehen können.
- Diese Anbieter werden vermutlich versuchen, verbindungs- und sitzungsbasierte Zugriffskontrollen zu umgehen, beispielsweise durch das Hochladen separater Softwaremodule auf Endgeräte von Privatkunden, um bestimmte Aufgaben ausführen zu können.
- Dieses modulare Modell wird bereits von bestimmten Anbietern im Fernen Osten eingesetzt, die sich durch Ausnutzung von Schwachstellen in der Software- und Hardware-Supply Chain kostengünstiger IoT-Geräte und durch den Verkauf vorinfizierter Android Open Source Project-unterstützter Geräte (AOSP) Millionen von Residential-Proxys sichern.
Ein Residential Proxy ist ein Proxy auf einem mit dem Internet verbundenen Gerät, wie z. B. einem Computer, Smartphone, Smart-TV oder Heimrouter, der so konfiguriert ist, dass er Dritten eine Verbindung ermöglicht. Dieser Zugriff durch Dritte kann mit oder (meistens) ohne Wissen des Eigentümers erfolgen. Dieses Setup lässt sich dergestalt ausnutzen, dass der Eindruck entsteht, die Verbindung komme vom privaten Nutzer des Geräts. Auf diese Weise ermöglichen diese Proxies Cyberkriminellen, bei Angriffen Antifraud-Systeme zu umgehen.
Sie verändern den Untergrundmarkt für Bulletproof Hosting und Proxys erheblich, indem sie Teile des bestehenden Ökosystems ersetzen und ergänzen. Wichtige Treiber dieses Trends sind die Veränderungen in den Geschäftsmodellen der Kriminellen, angestoßen durch die explosionsartige Zunahme von Datenlecks aufgrund tausender Ransomware-Angriffe und Einbrüche in den letzten Jahren. Cyberkriminelle wollen die Terabytes an kompromittierten sensiblen und personenbezogenen Daten (PII) monetarisieren.
Auch müssen Kriminelle Mittel finden, verbesserte Verteidigungsstrategien und Cybersicherheitsprodukte ihrer Ziele zu überlisten, dem Aufkommen innovativer Technologien wie generativer künstlicher Intelligenz (GenAI) Rechnung zu tragen sowie den Veränderungen im Online-Verhalten der Nutzer und sogar der geopolitischen Umstände.
Neue Geschäftsmodelle führen auch zu Veränderungen bei den Untergrund-Services und der Art und Weise, wie Cyberkriminelle legitime Services nutzen. Ein deutliches Beispiel dafür ist der Aufstieg von Proxy-Dienstleistern für Privathaushalte in den letzten zehn Jahren.
Ist traditionelles Bulletproof Hosting passé?
Traditionelle Anbieter von Bulletproof Hosting und Proxy-Diensten sind dafür bekannt, dass sie zahlreiche unbefugte, cyberkriminelle Aktivitäten wie Datenscraping, Netzwerkscans, den Versand von Spam-Mails und das Hosting von Malware und Command-and-Control-Servern (C&C) ermöglichen. Sie leiten den Internetverkehr über mehrere Hops und erschweren die Rückverfolgung der Herkunft der Angriffe. Proxy-Services ermöglichen es auch, geografische Beschränkungen und Antifraud-Systeme auf Basis der Geolokalisierung von IP-Adressen zu umgehen.
Bulletproof-IP-Adressen und Proxys in Rechenzentren sind für Verteidiger relativ einfach zu blockieren. Dies macht sie für Cyberkriminelle weniger attraktiv. Anstatt sich mit herkömmlichen Diensten abzumühen, greifen sie auf Residential Proxys zurück, um diese Abwehrmaßnahmen zu überwinden.
Anbieter dieser Dienste ermöglichen es Cyberkriminellen, Antifraud-Systeme besser zu umgehen, da sie über riesige Pools von Internet-IP-Adressen verfügen, die von Privatanwendern in einer Umgebung verwendet werden können und die für harmlosen Datenverkehr plausibel wirken. Dies ist einer der Gründe, warum Anbieter von Residential Proxies zu einem vollwertigen Geschäftsökosystem geworden sind, das den bereits bestehenden Markt für Bulletproof Hosting und Proxys teilweise ersetzt, aber größtenteils ergänzt.
Residential Proxy Services
Die ersten Anbieter tauchten um 2014 auf, und dieses Geschäft ist in den letzten Jahren erheblich gewachsen. Mittlerweile gibt es verschiedene Brands und mehrere Arten von Anbietern.
Dem Markt mangelt es dementsprechend an Transparenz, da Unternehmen oft nicht offenlegen, woher sie ihre Exit-Punkte beziehen. Auch gibt es erhebliche Überschneidungen der von mehreren angebotenen Proxies, da sie oft unter verschiedenen Firmennamen operieren, die sich die gleiche Infrastruktur teilen. Sie bieten auch Partnerprogramme an und nutzen die Proxy-Pools anderer Anbieter.
Weil sie Identitäten zu verschleiern und Beschränkungen umgehen können, sind diese Proxies mittlerweile unverzichtbare Werkzeuge in modernen cyberkriminellen Geschäftsprozessen. Zu den wichtigsten Anwendungsfällen gehören:
- Datenscraping für Marktbeobachtung und Wettbewerbsanalyse oder zum Aufbau großer Sprachmodelle in der KI
- Urheberrechtsverletzungen
- Werbe- und Klickbetrug
- Umgehung von Antifraud-Systemen von E-Commerce-Systemen und Finanzinstituten
- Passwort- und Anmeldedaten-Spraying-Techniken
- Social-Media-Account-Management, Verbreitung von Falschinformationen in sozialen Medien
- Umgehung von Geofencing-Beschränkungen
- Anonymisierungsschichten, einschließlich Operational Relay Boxes (ORB), die von APT-Gruppen verwendet werden
Bulletproof Hosting versus Residential Proxies
Residential Proxies werden häufig auf Geräten installiert, wie Laptops, Tablets, Smartphones, Routern, Smart-TVs und Set-Top-Boxen, die legitimen Nutzern gehören. Der von diesen IP-Adressen ausgehende Internetverkehr ist eine Mischung aus legitimem Datenverkehr der Gerätebesitzer und Proxy-Datenverkehr von Akteuren, die die Geräte nutzen. Es ist nicht praktikabel, diese riesigen Datenmengen einzeln als bösartig oder harmlos zu kennzeichnen.
Durch die Verwendung von privaten IP-Adressen können Angreifer die Identitätsfälschung von Nutzern leicht skalieren, die Pools von automatisch rotierenden IP-Adressen nutzen und viele Filter kostengünstig umgehen. Dies erleichtert die Entstehung und Skalierbarkeit moderner krimineller Prozesse.
Erkennen von Residential Proxies
Es gibt Gegenmaßnahmen, mit denen Website- und E-Commerce-Betreiber Zugriffe von Residential Proxies erkennen und kennzeichnen können. Eine Möglichkeit basiert auf den beliebten Open Source-Netzwerk-Fingerprinting-Techniken namens JA4+. Diese Methoden sind sowohl für Menschen als auch für Maschinen lesbar und machen eine effektivere Bedrohungssuche und -analyse möglich. Zu den Merkmalen, die JA4+ Fingerprinting zur Identifizierung eindeutiger Netzwerkpakete verwenden, gehören:
- Paketlänge: die maximale Segmentgröße (MSS), also die größte Datenmenge, die eine Quelle in einem einzelnen TCP-Segment senden kann.
- TCP-Länge: Größe des TCP-Headers im TCP-SYN-Paket in Byte an.
- Paketfenstergröße: Datenmenge, die ein Empfänger vom Absender akzeptieren möchte, bevor er sie bestätigt.
- Fensterskalierung: Angabe, um wie viel die Fenstergröße erhöht werden kann, die die Datenmenge bestimmt, die ein Absender übertragen kann, bevor er eine Bestätigung benötigt.
- Maximale Segmentgröße: größte Payload, die die Quelle pro Paket akzeptiert, und hängt vom Overhead in der Netzwerkverbindung ab.
- Reihenfolge der TCP-Optionen: Erzeugt einen eindeutigen Fingerabdruck, der eine genaue Reihenfolge festlegt, die von den Client- und Server-Implementierungen abhängt.
Diese Merkmale erzeugen einen spezifischen Fingerabdruck, der sich nur ändern kann, wenn die Netzwerkkonfiguration im Betriebssystem geändert wird. Die Fingerabdrücke können auch je nach den intermediaren Hops, die ein Angreifer in einer Proxy-Kette verwendet, unterschiedlich sein.
Im Rahmen unserer Untersuchung haben wir zwei Tests durchgeführt: einen kleinen Test mit einem Zielsystem (über Socks5) und einen größeren mit etwa 1.500 Zielendpunkten in 80 Ländern. Einzelheiten umfasst der Originalbeitrag. Es zeigt sich, dass sich verschiedene Betriebssysteme anhand der Paketlänge, der TCP-Länge und des Ja4T-Fingerabdrucks klassifizieren lassen. Dasselbe Betriebssystem weist auch unterschiedliche Merkmale auf, wenn die Netzwerkkonfiguration unterschiedlich ist. Auch Einzelheiten zum zweiten Test beinhaltet der Originalbeitrag.
Wir glauben, dass Protokollierung der Paketlänge und der Ja4T-Fingerabdrücke auf internetfähigen Geräten von Unternehmen und Behörden ein wichtiges Instrument zur Identifizierung verdächtiger eingehender Verbindungen ist. Wir empfehlen zwar nicht, eingehende Verbindungen mit diesen Fingerabdrücken einfach zu blockieren, aber sie können zusammen mit der Erkennung anderer Anomalien, wie z. B. einer Reihe fehlgeschlagener Anmeldungen auf einem Mailserver oder einem Unternehmens-VPN-Server, als Indikator verwendet werden.
Der modulare Ansatz
Anbieter von Residential Proxys könnten auch einen modularen Ansatz verfolgen, bei dem verschiedene Softwaremodule für Aufgaben wie Proxy-Services, Website-Scraping und Betrugsaktivitäten geladen werden können. Dies ist bereits in den Geschäfts- und Monetarisierungsstrategien der Lemon Group zu beobachten, die auf vorinfizierten Geräten aufbauen.
Andere Anbieter verwenden jedoch auch andere modulare Verteilungstechniken, die nicht auf vorinfizierten AOSP-unterstützten Geräten basieren. Diese modulare Methode ermöglicht es Residential Nodes, unabhängig voneinander zu arbeiten, wodurch sie möglicherweise fortschrittliche Netzwerk-Fingerprinting-Techniken umgehen und die Abwehr von Residential Proxys erschweren können.
Fazit und Sicherheitsempfehlungen
Durch die Nutzung neuer Technologien und Veränderungen im Nutzerverhalten verändern Residential Proxies den traditionellen Markt für Bulletproof Hosting und Proxys. Cyberkriminelle nutzen riesige Pools von IP-Adressen von Privatanwendern, um Antifraud-Systeme effektiv zu umgehen und sich als legitime Nutzer auszugeben. Die Proxies können auch für Brute-Force-Angriffe auf Passwörter oder andere böswillige Aktivitäten genutzt werden.
Black und White Listing für IP-Adressen als Gegenmaßnahme ist deutlich weniger effektiv, insbesondere weil ihre Verwendung zu einer Vermischung von bösartigem und harmlosem Datenverkehr von privaten IP-Adressen von Millionen von privaten Internetnutzern führt. Daher ist eine granularere Filterung erforderlich, bei der harmloser und bösartiger Datenverkehr anhand von Netzwerkverbindungs-Fingerabdrücken und Sitzungseigenschaften getrennt wird, anstatt sich allein auf die Reputation der IP-Adresse zu stützen. Sicherheitsmaßnahmen wie DDI (Domain Name System [DNS], Dynamic Host Configuration Protocol [DHCP] und IP Address Management [IPAM]) können verwendet werden, um bösartige Aktivitäten anhand spezifischer Angriffsmuster zu blockieren.
Große Content Delivery Networks (CDN) können Modelle künstlicher Intelligenz (KI) trainieren, um zwischen harmlosem Internetnutzer-Datenverkehr und Bot-Datenverkehr zu unterscheiden. Seit mehreren Jahren wird die Sitzungsklassifizierung bereits von großen Content-Service-Providern durchgeführt, indem sie Mausbewegungen beobachten oder Challenge-Response-Tests verwenden.
Ein ähnlicher Ansatz, der mehr Datenquellen nutzt, indem er tiefere Korrelationen zwischen Netzwerkflüssen und den in wichtigen Geschäfts- und Finanzprozessen verwendeten Daten integriert, kann ebenfalls die Erkennung verbessern. Dieser Ansatz eignet sich vor allem für Verteidiger von E-Commerce-, Finanz- und Medienplattformen sowie anderen Unternehmen mit bedeutender Webpräsenz.
Um den Missbrauch zu bekämpfen, müssen Unternehmen risikobasierte Strategien anwenden, die sich nicht mehr allein auf IP-Reputationsdienste verlassen, sondern detailliertere Filtertechniken auf Basis von Netzwerkverbindungs-Fingerprints und Sitzungseigenschaften einsetzen. Fortschrittliche Erkennungsmechanismen wie JA4+ Netzwerk-Fingerprinting und KI-gestützte Sicherheitsplattformen und -lösungen wie CREM von Trend Micro bieten vielversprechende Techniken zur Identifizierung von Verbindungen, die von Residential Proxies stammen.
Um die Risiken zu minimieren, empfehlen wir auch Endnutzern, keine Software zu installieren, die kostenlos oder zu einem reduzierten Preis angeboten wird, wenn sie im Gegenzug ihre Internetbandbreite einem Residential-Proxy-Anbieter zur Verfügung stellen müssen.