پروکسی‌های رزیدنشال: درک خطراتی که سازمان‌ها را تهدید می‌کنند

27 فروردین 1403 266 بازدید
پروکسی‌های رزیدنشال: درک خطراتی که سازمان‌ها را تهدید می‌کنند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هر روز میلیون‌ها کاربر معمولی اینترنت امتیاز کامپیوتر، اسمارت‌فون یا روترهای خانگی‌شان را دانسته یا ندانسته به افراد کاملاً غریبه می‌دهند. آن‌ها پروکسی‌افزارها را نصب می‌کنند؛ سرور پروکسی که از این افراد غریبه درخواست اینترنت قبول کرده و آن‌ها را از طریق اینترنت به سرور تارگت فوروارد می‌کنند. دسترسی به چنین پروکسی‌افزارهایی معمولاً توسط شرکت‌های تخصصی ارائه می‌شود که ما به آن‌ها ارائه‌دهندگان پروکسی‌های رزیدنشال یا مسکونی[1] می‌گوییم و در این مقاله قرار است به آن‌ها پرداخته و توضیح دهیم چرا برای سازمان‌ها تهدید محسوب می‌شوند. با ما همراه باشید.

گرچه برخی کسب و کارها از سرویس‌های RPP برای مقاصد قانونی استفاده می‌کنند اما اغلب حضور آن‌ها روی کامپیوترهای کاری نشان‌دهنده فعالیتی غیرقانونی است. RPPها با هم در رقابتند و مدام به آدرس‌های IP موجودشان و تعداد و کیفیت آن‌ها فخر می‌فروشند. این باعث شده بازارشان داغ شود و سازمان‌ها و تیم امنیت سایبری‌شان سر همین موضوع در خطرند.

علت استفاده از پروکسی‌های رزیدنشال چیست؟

گذشت آن دوره که اینترنت برای همه یکسان بود. امروز، اکثر سرویس‌های آنلاین محتوا را بر اساس منطقه تنظیم می‌کنند؛ وبسایت‌ها محتوا را فیلتر می‌کنند و گاهی یک قاره یا یک کشور از محتوایی خاص دریغ می‌شود. شاید هم عملکردهای یک سرویس در کشورهای مختلف متفاوت باشد. پروکسی‌های مسکونی راهی برای تجزیه و تحلیلو دور زدن چنین فیلترهایی ارائه می‌دهند. RPPها اغلب موارد استفاده را برای خدمات خود مانند تحقیقات بازار (ردیابی قیمت رقبا)، تأیید تبلیغات، حذف وب برای جمع آوری داده‌ها و آموزش هوش مصنوعی، تجزیه و تحلیل نتایج موتور جستجو و موارد دیگر تبلیغ می‌کنند. گرچه VPN‌های تجاری و پروکسی‌های مرکز داده عملکردهای مشابهی را ارائه می‌دهند، اما بسیاری از سرویس ها می‌توانند آنها را بر اساس محدوده IP یا اکتشافی مرکز داده شناسایی کنند. شناسایی پروکسی‌های مسکونی، که بر روی دستگاه‌های خانگی واقعی کار می‌کنند، بسیار سخت‌تر است. آنچه وب‌سایت‌های RPP به راحتی حذف می‌کنند، فعالیت‌های مشکوک و غالباً مخربی است که پروکسی‌های مسکونی به طور سیستماتیک برای آنها استفاده می‌شوند. از جمله:

  •         حملات پر کردن اعتبار[2]، از جمله نشت رمز عبور، مانند نقض اخیر مایکروسافت.
  •         نفوذ به یک سازمان با استفاده از اعتبارنامه های قانونی - استفاده از پروکسی‌های مسکونی از مناطق خاص می‌تواند از راه اندازی قوانین اکتشافی ورود مشکوک جلوگیری کند.
  •         پوشاندن نشانه‌های حملات سایبری - ردیابی و نسبت دادن منبع فعالیت های مخرب دشوارتر است.
  •         طرح‌های تقلبی شامل کارت‌های اعتباری و هدیه. پروکسی‌های مسکونی می‌توانند برای دور زدن سیستم‌های ضد کلاهبرداری استفاده شوند.
  •         انجام حملات DDoS برای مثال، یک سری بزرگ از حملات DDoS در مجارستان به RPP White Proxies بازمی‌گردد.
  •         دستکاری خودکار بازار، مانند خرید انبوه با سرعت بالا بلیط‌های رویداد کمیاب یا اقلام با نسخه محدود (اسنیکر بات‌ها)؛
  •         کلاهبرداری بازاریابی - افزایش معیارهای تبلیغات، ایجاد تعامل جعلی در رسانه‌های اجتماعی و غیره؛
  •         هرزنامه، ثبت حساب انبوه؛
  •         خدمات بای پس CAPTCHA

پروکسی‌افزار: بازاری خاکستری

بازار پروکسی رزیدنشال پیچیده است زیرا فروشندگان، خریداران و شرکت‌کنندگان لزوماً همه قانونی نیستند (داوطلبانه و با رعایت بهترین شیوه‌ها)- آن‌ها می‌توانند با وقاحت تمام غیرقانونی باشند. برخی RPPها وبسایت‌های رسمی را با اطلاعات شفاف، آدرس‌های واقعی، توصیه های مشتریان اصلی و غیره نگهداری می‌کنند. بقیه هم زیر سایه تالارهای گفت‌وگوی هکرها و دارک‌وب زیست و با تلگرام سفارشات را قبول می‌کنند. حتی ظاهراً ارائه‌دهندگان قانونی اغلب فاقد تأیید صحیح مشتری هستند و برای ارائه اطلاعات واضح در مورد منشأ «گره‌ها» خود - یعنی رایانه‌های خانگی و تلفن‌های هوشمندی که پروکسی‌افزار روی آنها نصب شده‌اند - تلاش می‌کنند. گاهی این عدم شفافیت ریشه در تکیه RPPها به پیماناران برای زیرساخت دارد و همین باعث می‌شود آن‌ها از منبع حقیقی پروکسی‌های خود خبر نداشته باشند.

پروکسی‌های رزیدنشال از کجا می‌آیند؟

بیایید روش‌های اصلی به دست آوردن گره‌های جدید را برای یک شبکه پراکسی مسکونی فهرست کنیم - از خوش‌خیم‌ترین تا ناخوشایندترین:

اپ‌های "در اینترنت خود کسب درآمد کنید". هنگامی که رایانه و کانال اتصال بارهای کمی دارند، کاربران تشویق می‌شوند نرم افزارهای پروکسی را بر روی دستگاه‌های خود اجرا کنند تا دسترسی به اینترنت را برای دیگران فراهم کنند. به کاربران برای این ماهانه پول پرداخت می‌شود. این برنامه‌ها در حالی که ظاهراً توافقی هستند، اغلب نمی‌توانند به‌اندازه کافی کاربران را از آنچه دقیقاً در رایانه‌ها و تلفن‌های هوشمندشان اتفاق می‌افتد آگاه کنند.

برنامه‌ها و بازی‌های درآمدزایی با پروکسی‌افزار. ناشر اجزای RPP را در بازی‌ها یا برنامه‌های خود تعبیه می‌کند و بر اساس ترافیکی که از طریق دستگاه‌های کاربران هدایت می‌شود، درآمد ایجاد می‌کند. در حالت ایده‌آل، کاربران یا بازیکنان باید از بین روش‌های درآمدزایی جایگزین مانند تبلیغات یا خرید برنامه یکی انتخاب کنند. با این حال، شفافیت و انتخاب کاربر اغلب نادیده گرفته می‌شود.

نصب مخفیانه نرم افزار پروکسی. یک اپ یا مهاجم می‌تواند برنامه یا آرشیو RPP را بدون رضایت کاربر بر روی رایانه یا تلفن هوشمند نصب کند. با این حال، اگر آنها خوش شانس باشند، مالک می‌تواند متوجه این "ویژگی" شده و آن را نسبتاً آسان حذف کند. این سناریو منعکس کننده سناریوی قبلی است که رضایت کاربر نادیده گرفته می‌شود، اما تکنیک‌های تداوم و پنهان‌کاری پیچیده‌تر هستند. پروکسی‌افزار مجرمانه از تمام ابزارهای موجود برای کمک به مهاجمین استفاده می‌کند تا جای پایی در سیستم پیدا و فعالیت خود را پنهان کنند. بدافزار حتی ممکن است در شبکه محلی گسترش یابد و دستگاه های اضافی را به خطر بیندازد.

نحوه رسیدگی به خطرات نرم‌افزار پروکسی تحت خط‌مشی امنیت سایبری یک سازمان

آلودگی‌های پروکسی‌افزار. سازمان‌ها ممکن است یکی دو کامپیوتر را در حال نمایش فعالیت پروکسی‌افزار کشف کنند. سناریوی بی‌ضرر و شایع این است که کارمندان نرم‌افزار رایگانی را که مخفیانه با پروکسی‌افزار عجین شده بود نصب کردن. در این سناریو شرکت نه تنها بابت استفاده غیرقانونی پنهای باند پول می‌دهد که ریسک این را هم می‌کند که در صورت پیدا شدن فعالیت مخربی که ریشه‌اش دستگاه دستکاری‌شده بوده به لیست ممنوعه‌ها بپیوندد. در موارد خاص شرکت‌ها شاید نیاز داشته باند به نیروی اجرای قانون ثابت کنند به هکرها پناه نمی‌دهند. این وضعیت وقتی پروکسی‌افزار تنها عنصر یک آلودگی بدافزاری باشد حتی وخیم‌تر هم می‌شود. پروکسی‌افزار معمولاً با استخراج همراه است – هر دو تلاش‌هایی برای کسب درآمد از دسترسی به منابع شرکت هستند، در صورتی که گزینه‌های دیگر کمتر سودآور به نظر برسند یا قبلاً مورد سوء استفاده قرار گرفته‌اند. بنابراین، پس از شناسایی نرم افزار پروکسی، تجزیه و تحلیل کامل گزارش برای تعیین ناقل عفونت و شناسایی سایر فعالیت‌های مخرب بسیار مهم است. برای کاهش خطر بدافزارها، از جمله پروکسی‌افزار، سازمان‌ها باید سیاست‌های فهرست مجاز را در رایانه‌های کاری و تلفن‌های هوشمند پیاده‌سازی، نصب و راه‌اندازی نرم‌افزار را فقط برای برنامه‌های مورد تأیید بخش فناوری اطلاعات محدود کنند. اگر فهرست مجاز دقیق امکان پذیر نیست، افزودن آرشیوها و برنامه‌های کاربردی پروکسی افزار شناخته شده به فهرست رد EPP/EDR ضروری است. یک لایه حفاظتی اضافی شامل مسدود کردن ارتباط با سرورهای فرمان و کنترل پروکسی‌افزار شناخته شده در سراسر شبکه داخلی می‌شود. اجرای موثر این سیاست‌ها مستلزم دسترسی به منابع اطلاعاتی تهدید به منظور به روزرسانی منظم قوانین با داده‌های جدید است.

حملات پر کردن اعتبار و اسپری پسورد[3] شامل پروکسی‌افزار. مهاجمین اغلب تلاش دارند از پروکسی‌های مسکونی در مناطق نزدیک به دفتر سازمان هدف استفاده کنند تا قوانین امنیتی مبتنی بر موقعیت جغرافیایی را دور بزنند. سوئیچ سریع بین پروکسی‌ها به آن‌ها توانایی می‌دهد محدودیت نرخ پایه مبتنی بر IP را دور بزنند. برای مقابله با چنین حملاتی سازمان‌ها به قوانینی نیاز دارند که جهش‌های نامعمول را در تلاش‌های ناموفق لاگین شناسایی کنند. شناسایی سایر رفتارهای مشکوک کاربر مانند تغییرات مکرر IP و تلاش‌های ناموفق برای ورود به سیستم در چندین برنامه نیز بسیار مهم است. برای سازمان‌هایی که احراز هویت چند عاملیMFA) ) دارند، اجرای قوانینی که با درخواست‌های MFA سریع و مکرر آغاز می‌شوند نیز می‌تواند موثر باشد، زیرا این می‌تواند نشان‌دهنده یک حمله خستگی مداوم MFA باشد. محیط ایده‌آل برای پیاده‌سازی چنین منطق تشخیصی توسط پلت‌فرم‌های SIEM یا XDR ارائه می‌شود، در صورتی که شرکت یکی از آنها را داشته باشد.

استفاده تجاری قانونی از پروکسی‌ها. اگر سازمان شما برای مقاصد قانونی مانند تست وبسایت به پروکسی‌های مسکونی نیاز داشته باشد انتخاب دقیق فروشنده (یعنی همان سرویس ارائه‌دهنده PRR) حیاتی است. RPPها را با رویه‌های قابل اثبات قانونی، گواهی‌های مربوطه، و مطابقت مستند با مقررات پردازش و ذخیره‌سازی داده‌ها در تمام مناطق عملیاتی اولویت‌بندی کنید. اطمینان حاصل کنید که آنها اسناد امنیتی و شفافیت جامعی را در مورد منشاء پروکسی‌های مورد استفاده در شبکه خود ارائه می‌دهند. از ارائه دهندگانی که فاقد تأیید مشتری هستند، پرداخت با ارزهای رمزنگاری شده را می‌پذیرند یا از حوزه‌های قضایی با مقررات ضعیف اینترنت کار می‌کنند، اجتناب کنید.

 

[1] residential proxy providers (RPPs)

[2] credential stuffing

[3] password spraying

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.