Jarenlang, grijze markt Services die bekend staan als “Bulletproof” -hosts zijn een belangrijk hulpmiddel geweest voor cybercriminelen die op zoek zijn naar een webinfrastructuur zonder vragen te onderhouden. Maar omdat de wereldwijde wetshandhaving doorbreekt om digitale bedreigingen te beperken, hebben ze strategieën ontwikkeld om klantinformatie van deze hosts te krijgen en hebben ze zich steeds meer gericht op de mensen achter de diensten met aanklachten. Bij de cybercriminaliteitsgerichte conferentie Slauthcon in Arlington, Virginia, schetste onderzoeker Thibault Seret vandaag hoe deze verschuiving zowel kogelvrije hostingbedrijven als criminele klanten naar een alternatieve aanpak heeft gepusht.
In plaats van te vertrouwen op webhosts om manieren te vinden om buiten het bereik van de wetshandhaving te werken, hebben sommige serviceproviders zich gewend tot het aanbieden van speciaal gebouwde VPN’s en andere proxy-services als een manier om IP-adressen van klanten te roteren en te maskeren en infrastructuur aan te bieden die opzettelijk geen verkeer hangt of verkeer uit veel bronnen samenwerkt. En hoewel de technologie niet nieuw is, benadrukten Seret en andere onderzoekers de nadruk dat de overgang naar het gebruik van proxy’s tussen cybercrminals de afgelopen jaren aanzienlijk is.
“Het probleem is dat u technisch niet onderscheid kunt maken welk verkeer in een knooppunt slecht is en welk verkeer goed is,” vertelde Seret, een onderzoeker bij het dreigingsinlichtingenbedrijf team Cymru, aan Wired voorafgaand aan zijn toespraak. “Dat is de magie van een proxy -service – je kunt niet zeggen wie wie is. Het is goed in termen van internetvrijheid, maar het is super, super moeilijk om te analyseren wat er gebeurt en slechte activiteit te identificeren.”
De kernuitdaging van het aanpakken van cybercriminele activiteit verborgen door proxy’s is dat de diensten ook in de eerste plaats ook het legitiem, goedaardig verkeer kunnen vergemakkelijken. Criminelen en bedrijven die ze niet willen verliezen, omdat klanten vooral hebben neigd op wat bekend staat als ‘residentiële proxy’s’, een scala aan gedecentraliseerde knooppunten die op consumentenapparaten kunnen worden uitgevoerd-zelfs oude Android-telefoons of low-end laptops-het feit dat echte, roterende IP-adressen zijn toegewezen aan huizen en kantoren. Dergelijke diensten bieden anonimiteit en privacy, maar kunnen ook kwaadaardig verkeer beschermen.
Door kwaadaardig verkeer te laten lijken alsof het afkomstig is van vertrouwde IP -adressen van consumenten, maken aanvallers het veel moeilijker voor de scanners van organisaties en andere tools voor dreigingsdetectie om verdachte activiteiten te herkennen. En, cruciaal, residentiële proxy’s en andere gedecentraliseerde platforms die op verschillende consumentenhardware worden uitgevoerd, verminderen het inzicht en de controle van een serviceprovider, waardoor het moeilijker wordt voor wetshandhaving om iets nuttigs van hen te krijgen.
“Aanvallers hebben de afgelopen twee tot drie jaar hun gebruik van residentiële netwerken opgevoerd voor aanvallen”, zegt Ronnie Tokazowski, een langdurige onderzoeker van digitale zwendel en mede -oprichter van de non -profit intelligentie voorgoed. “Als aanvallers uit dezelfde residentiële reeksen komen als, zeg, werknemers van een doelorganisatie, is het moeilijker te volgen.”
Crimineel gebruik van proxy’s is niet nieuw. In 2016 zei het Amerikaanse ministerie van Justitie bijvoorbeeld dat een van de obstakels in een jarenlang onderzoek naar het beruchte “lawine” cybercrimineel platform het gebruik van een “fast-flux” hostingmethode was die de kwaadaardige activiteit van het platform verborg met constant veranderende proxy-IP-adressen. Maar de opkomst van proxy’s als een grijze marktdienst in plaats van iets dat aanvallers in eigen huis moeten ontwikkelen, is een belangrijke verschuiving.
“Ik weet nog niet hoe we het proxy -probleem kunnen verbeteren,” vertelde de seret van team Cymru aan Wired. “Ik denk dat wetshandhaving zich zou kunnen richten op bekende kwaadaardige proxy -aanbieders zoals ze deden met kogelvrije gastheren. Maar in het algemeen zijn proxy’s hele internetdiensten die door iedereen worden gebruikt. Zelfs als je een kwaadaardige service haalt, lost dat de grotere uitdaging niet op.”
