Домашние прокси: в чем риски для организаций?

Каждый день миллионы обычных частных пользователей Интернета вольно или невольно предоставляют свой компьютер, смартфон или домашний роутер посторонним. Они устанавливают на свои устройства proxyware — прокси-сервер, принимающий интернет-запросы этих посторонних и транслирующий их дальше в Интернет, к целевому серверу. Доступ к proxyware обычно предоставляют специализированные поставщики, которых мы дальше в статье будем называть ПДП (провайдеры домашних прокси). Иногда услугами таких ПДП компании пользуются вполне сознательно, но чаще появление их на рабочих компьютерах связано с нелегальной активностью.

ПДП конкурируют между собой, хвастаясь разнообразием и количеством доступных для клиентов IP-адресов, счет которых идет на миллионы. Этот рынок фрагментирован, непрозрачен и создает для организаций и их ИБ-команд специфический набор рисков.

Зачем применяются домашние прокси

Времена, когда Интернет был один для всех, давно прошли: крупные онлайн-сервисы адаптируют контент к региону, из которого пришел конкретный запрос, многие сайты фильтруют контент, отсекая целые страны и континенты, функции одного сервиса для разных стран могут отличаться, и так далее. Изучить, настроить или обойти такие фильтры как раз позволяют домашние прокси. ПДП часто приводят в своей рекламе такие варианты применения сервиса: исследование рынка (отслеживание цен конкурентов и тому подобное), верификация показа рекламы, сбор открытой информации (web scraping), в том числе для тренировки ИИ, анализ поисковой выдачи, и так далее.

Конечно, что все это выполнимо при помощи коммерческих VPN и прокси на базе дата-центров. Но многие сервисы умеют детектировать VPN по известным IP-диапазонам дата-центров или эвристически, а вот домашний прокси определить гораздо сложнее. Ведь он, в конце концов, работает на настоящем домашнем компьютере.

О чем не пишут на сайтах ПДП, так это о сомнительных и откровенно вредоносных активностях, в которых систематически применяются домашние прокси. Среди них:

• проведение атак с перебором паролей, в том числе password spraying, как в недавнем взломе Microsoft;
• проникновение в организацию при помощи легитимных учетных данных — домашний прокси из нужного региона предотвращает срабатывание эвристических правил подозрительного входа;
• заметание следов кибератаки — сложнее отследить и атрибутировать источник вредоносной активности;
• мошеннические схемы с кредитными и подарочными картами. Применение домашних прокси позволяет обойти систему борьбы с мошенническими оплатами (antifraud);
• проведение DDoS-атак. Например, большая серия DDoS-атак в Венгрии была отслежена до ПДП White Proxies;
• автоматизация спекуляций, таких как массовая скоростная скупка дефицитных билетов на мероприятия или коллекционных товаров (sneaker bots);
• мошенничество в маркетинге — накрутки рекламы, реакций в соцсетях, и так далее;
• рассылка спама, массовая регистрация аккаунтов;
• сервисы по обходу CAPTCHA.

Серый рынок proxyware

Ситуация с домашними прокси сложна, потому что на этом рынке и продавцы, и покупатели, и участники, бывают как абсолютно легитимные (добровольные, соблюдающие лучшие практики), так и откровенно незаконные. У некоторых ПДП есть официальные веб-сайты с подробной информацией, реальным адресом, рекомендациями крупных клиентов, и так далее. Другие ПДП рекламируются на хакерских форумах и в даркнете, а заказы принимают в Telegram. Но даже легальные на первый взгляд провайдеры зачастую вообще не проверяют личность клиентов и затрудняются подробно отчитаться о происхождении своих «нод», то есть домашних компьютеров и смартфонов, на которых установлено proxyware. Иногда это связано с тем, что некоторые ПДП покупают инфраструктуру у субподрядчиков и о происхождении прокси не знают сами.

Откуда берутся домашние прокси

Перечислим основные источники поступления новых нод в сеть домашних прокси — от самого благополучного к самому неприятному.

• Специальные приложения «заработай на своем Интернете». Пользователю предлагают добровольно запустить proxyware на компьютере или смартфоне, чтобы предоставлять другим доступ в Интернет, когда компьютер и канал связи мало загружены. За это пользователю ежемесячно выплачиваются деньги. Хотя этот способ наиболее честный из всех перечисленных, даже здесь есть сомнения в том, что пользователям в достаточной мере объясняют, что будет происходить на их компьютерах и смартфонах.
• Приложения или игры с монетизацией через proxyware. Издатель игры или приложения встраивает в нее компоненты одного из ПДП. Далее издатель получает от ПДП деньги за весь объем трафика, который удалось передать через игроков. В идеальном мире пользователю или игроку показывают специальное окно с предложением запустить proxyware, и он может отказаться, например смотреть вместо этого рекламу или заплатить деньги за приложение. На практике, конечно, выбор пользователю дают не всегда, да и проинформировать его «забывают».
• Подпольная установка proxyware. Какое-то приложение или живой злоумышленник могут установить на компьютер или смартфон приложение или библиотеку ПДП, не спрашивая разрешения у владельца устройства. Владелец, впрочем, при определенной удаче может заметить это новшество и относительно легко его удалить.
• Вредоносное ПО. Вариант похож на предыдущий тем, что владельца компьютера или смартфона вообще ни о чем не спрашивают, а отличается более сложной процедурой удаления. Криминальное proxyware применяет всевозможные для зловредов методы закрепления в системе и скрытия своей активности. Более того, иногда зловред самостоятельно заражает доступные по локальной сети дополнительные устройства.

Как учесть риски proxyware в ИБ-политике организации

Заражение организации proxyware. Довольно часто один или несколько компьютеров в организации могут проявлять proxyware-активность. Распространенный и относительно безобидный сценарий: сотрудник установил на рабочий компьютер бесплатную программу, а к ней «в нагрузку» шло proxyware. Компания в этом сценарии не только оплачивает паразитный интернет-трафик, но и рискует попасть в различные бан-листы, если с компьютера будет исходить вредоносная активность. В особо тяжелых случаях придется доказывать правоохранительным органам, что в фирме не окопались хакеры.

Но ситуация может оказаться и более непростой — в случае если компьютер сотрудника оказывается заражен ВПО, а установка proxyware является только одним из действий, совершенных преступниками. Чаще всего proxyware идет бок о бок с майнингом — попытками монетизации доступа в компанию, если другие варианты показались менее прибыльными или уже были отработаны. Поэтому, обнаружив proxyware, нужно детально исследовать доступные логи, чтобы понять пути его установки и идентифицировать другую активность атакующих.

Для снижения риска заражения ВПО, включая proxyware, рекомендуется использовать на рабочих компьютерах и смартфонах allowlisting, запрещающий установку и запуск не авторизованных IT-отделом приложений. Если такая жесткая политика невозможна, как минимум известные библиотеки и приложения proxyware надо добавить в denylist вашего EPP/EDR.

Дополнительным слоем защиты будет запрет для всей внутренней сети коммуникаций с известными управляющими серверами proxyware. Для качественной реализации этих политик потребуется доступ к источникам Threat Intelligence, чтобы регулярно обновлять правила новыми данными.

Атаки на компанию по техникам credential stuffing и password spraying с применением proxyware. Злоумышленники все чаще пытаются арендовать домашние прокси в регионе, близком к офису атакуемой организации. Это делает менее эффективными правила защитных инструментов, основанных на необычной геолокации удаленного пользователя. Ну а быстрый перебор прокси позволяет обойти простые ограничения числа попыток, связанные с IP-адресом. Чтобы быстрее замечать подобные атаки и реагировать на них, необходимы правила, срабатывающие на общий рост неудачных попыток входа в системы компании. Помогут и правила, определяющие такие нехарактерные действия пользователя, как быстрая многократная смена IP и неудачные попеременные попытки входа в несколько разных приложений. Для организаций, внедривших многофакторную аутентификацию, эффективны также правила, срабатывающие на быстрый многократный запрос второго фактора — это может быть индикатором параллельно проводимой атаки MFA fatigue. Реализовать подобную детектирующую логику удобнее всего на базе платформы SIEM или XDR, если она уже внедрена в компании.

Применение прокси для целей бизнеса. Если организации необходимо самой применять домашние прокси для решения легитимных задач, например тестирования веб-сайтов, важно приложить максимум усилий при отборе и проверке подрядчика (то есть ПДП). Первоочередными факторами при выборе должны стать: юридическая чистота компании; наличие у нее сертификатов и документов, подтверждающих соблюдение законодательства в сфере обработки и хранения информации для всех регионов присутствия; наличие технической документации по вопросам безопасности и способность предоставить детальную информацию о происхождении используемых в сети компьютеров-прокси. Стоит избегать компаний, которые не проводят идентификацию своих клиентов, принимают оплату в криптовалютах, а также фирм, зарегистрированных в юрисдикциях без четкого регулирования интернет-компаний.