روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هر روز میلیونها کاربر معمولی اینترنت امتیاز کامپیوتر، اسمارتفون یا روترهای خانگیشان را دانسته یا ندانسته به افراد کاملاً غریبه میدهند. آنها پروکسیافزارها را نصب میکنند؛ سرور پروکسی که از این افراد غریبه درخواست اینترنت قبول کرده و آنها را از طریق اینترنت به سرور تارگت فوروارد میکنند. دسترسی به چنین پروکسیافزارهایی معمولاً توسط شرکتهای تخصصی ارائه میشود که ما به آنها ارائهدهندگان پروکسیهای رزیدنشال یا مسکونی[1] میگوییم و در این مقاله قرار است به آنها پرداخته و توضیح دهیم چرا برای سازمانها تهدید محسوب میشوند. با ما همراه باشید.
گرچه برخی کسب و کارها از سرویسهای RPP برای مقاصد قانونی استفاده میکنند اما اغلب حضور آنها روی کامپیوترهای کاری نشاندهنده فعالیتی غیرقانونی است. RPPها با هم در رقابتند و مدام به آدرسهای IP موجودشان و تعداد و کیفیت آنها فخر میفروشند. این باعث شده بازارشان داغ شود و سازمانها و تیم امنیت سایبریشان سر همین موضوع در خطرند.
علت استفاده از پروکسیهای رزیدنشال چیست؟
گذشت آن دوره که اینترنت برای همه یکسان بود. امروز، اکثر سرویسهای آنلاین محتوا را بر اساس منطقه تنظیم میکنند؛ وبسایتها محتوا را فیلتر میکنند و گاهی یک قاره یا یک کشور از محتوایی خاص دریغ میشود. شاید هم عملکردهای یک سرویس در کشورهای مختلف متفاوت باشد. پروکسیهای مسکونی راهی برای تجزیه و تحلیلو دور زدن چنین فیلترهایی ارائه میدهند. RPPها اغلب موارد استفاده را برای خدمات خود مانند تحقیقات بازار (ردیابی قیمت رقبا)، تأیید تبلیغات، حذف وب برای جمع آوری دادهها و آموزش هوش مصنوعی، تجزیه و تحلیل نتایج موتور جستجو و موارد دیگر تبلیغ میکنند. گرچه VPNهای تجاری و پروکسیهای مرکز داده عملکردهای مشابهی را ارائه میدهند، اما بسیاری از سرویس ها میتوانند آنها را بر اساس محدوده IP یا اکتشافی مرکز داده شناسایی کنند. شناسایی پروکسیهای مسکونی، که بر روی دستگاههای خانگی واقعی کار میکنند، بسیار سختتر است. آنچه وبسایتهای RPP به راحتی حذف میکنند، فعالیتهای مشکوک و غالباً مخربی است که پروکسیهای مسکونی به طور سیستماتیک برای آنها استفاده میشوند. از جمله:
- حملات پر کردن اعتبار[2]، از جمله نشت رمز عبور، مانند نقض اخیر مایکروسافت.
- نفوذ به یک سازمان با استفاده از اعتبارنامه های قانونی - استفاده از پروکسیهای مسکونی از مناطق خاص میتواند از راه اندازی قوانین اکتشافی ورود مشکوک جلوگیری کند.
- پوشاندن نشانههای حملات سایبری - ردیابی و نسبت دادن منبع فعالیت های مخرب دشوارتر است.
- طرحهای تقلبی شامل کارتهای اعتباری و هدیه. پروکسیهای مسکونی میتوانند برای دور زدن سیستمهای ضد کلاهبرداری استفاده شوند.
- انجام حملات DDoS برای مثال، یک سری بزرگ از حملات DDoS در مجارستان به RPP White Proxies بازمیگردد.
- دستکاری خودکار بازار، مانند خرید انبوه با سرعت بالا بلیطهای رویداد کمیاب یا اقلام با نسخه محدود (اسنیکر باتها)؛
- کلاهبرداری بازاریابی - افزایش معیارهای تبلیغات، ایجاد تعامل جعلی در رسانههای اجتماعی و غیره؛
- هرزنامه، ثبت حساب انبوه؛
- خدمات بای پس CAPTCHA
پروکسیافزار: بازاری خاکستری
بازار پروکسی رزیدنشال پیچیده است زیرا فروشندگان، خریداران و شرکتکنندگان لزوماً همه قانونی نیستند (داوطلبانه و با رعایت بهترین شیوهها)- آنها میتوانند با وقاحت تمام غیرقانونی باشند. برخی RPPها وبسایتهای رسمی را با اطلاعات شفاف، آدرسهای واقعی، توصیه های مشتریان اصلی و غیره نگهداری میکنند. بقیه هم زیر سایه تالارهای گفتوگوی هکرها و دارکوب زیست و با تلگرام سفارشات را قبول میکنند. حتی ظاهراً ارائهدهندگان قانونی اغلب فاقد تأیید صحیح مشتری هستند و برای ارائه اطلاعات واضح در مورد منشأ «گرهها» خود - یعنی رایانههای خانگی و تلفنهای هوشمندی که پروکسیافزار روی آنها نصب شدهاند - تلاش میکنند. گاهی این عدم شفافیت ریشه در تکیه RPPها به پیماناران برای زیرساخت دارد و همین باعث میشود آنها از منبع حقیقی پروکسیهای خود خبر نداشته باشند.
پروکسیهای رزیدنشال از کجا میآیند؟
بیایید روشهای اصلی به دست آوردن گرههای جدید را برای یک شبکه پراکسی مسکونی فهرست کنیم - از خوشخیمترین تا ناخوشایندترین:
اپهای "در اینترنت خود کسب درآمد کنید". هنگامی که رایانه و کانال اتصال بارهای کمی دارند، کاربران تشویق میشوند نرم افزارهای پروکسی را بر روی دستگاههای خود اجرا کنند تا دسترسی به اینترنت را برای دیگران فراهم کنند. به کاربران برای این ماهانه پول پرداخت میشود. این برنامهها در حالی که ظاهراً توافقی هستند، اغلب نمیتوانند بهاندازه کافی کاربران را از آنچه دقیقاً در رایانهها و تلفنهای هوشمندشان اتفاق میافتد آگاه کنند.
برنامهها و بازیهای درآمدزایی با پروکسیافزار. ناشر اجزای RPP را در بازیها یا برنامههای خود تعبیه میکند و بر اساس ترافیکی که از طریق دستگاههای کاربران هدایت میشود، درآمد ایجاد میکند. در حالت ایدهآل، کاربران یا بازیکنان باید از بین روشهای درآمدزایی جایگزین مانند تبلیغات یا خرید برنامه یکی انتخاب کنند. با این حال، شفافیت و انتخاب کاربر اغلب نادیده گرفته میشود.
نصب مخفیانه نرم افزار پروکسی. یک اپ یا مهاجم میتواند برنامه یا آرشیو RPP را بدون رضایت کاربر بر روی رایانه یا تلفن هوشمند نصب کند. با این حال، اگر آنها خوش شانس باشند، مالک میتواند متوجه این "ویژگی" شده و آن را نسبتاً آسان حذف کند. این سناریو منعکس کننده سناریوی قبلی است که رضایت کاربر نادیده گرفته میشود، اما تکنیکهای تداوم و پنهانکاری پیچیدهتر هستند. پروکسیافزار مجرمانه از تمام ابزارهای موجود برای کمک به مهاجمین استفاده میکند تا جای پایی در سیستم پیدا و فعالیت خود را پنهان کنند. بدافزار حتی ممکن است در شبکه محلی گسترش یابد و دستگاه های اضافی را به خطر بیندازد.
نحوه رسیدگی به خطرات نرمافزار پروکسی تحت خطمشی امنیت سایبری یک سازمان
آلودگیهای پروکسیافزار. سازمانها ممکن است یکی دو کامپیوتر را در حال نمایش فعالیت پروکسیافزار کشف کنند. سناریوی بیضرر و شایع این است که کارمندان نرمافزار رایگانی را که مخفیانه با پروکسیافزار عجین شده بود نصب کردن. در این سناریو شرکت نه تنها بابت استفاده غیرقانونی پنهای باند پول میدهد که ریسک این را هم میکند که در صورت پیدا شدن فعالیت مخربی که ریشهاش دستگاه دستکاریشده بوده به لیست ممنوعهها بپیوندد. در موارد خاص شرکتها شاید نیاز داشته باند به نیروی اجرای قانون ثابت کنند به هکرها پناه نمیدهند. این وضعیت وقتی پروکسیافزار تنها عنصر یک آلودگی بدافزاری باشد حتی وخیمتر هم میشود. پروکسیافزار معمولاً با استخراج همراه است – هر دو تلاشهایی برای کسب درآمد از دسترسی به منابع شرکت هستند، در صورتی که گزینههای دیگر کمتر سودآور به نظر برسند یا قبلاً مورد سوء استفاده قرار گرفتهاند. بنابراین، پس از شناسایی نرم افزار پروکسی، تجزیه و تحلیل کامل گزارش برای تعیین ناقل عفونت و شناسایی سایر فعالیتهای مخرب بسیار مهم است. برای کاهش خطر بدافزارها، از جمله پروکسیافزار، سازمانها باید سیاستهای فهرست مجاز را در رایانههای کاری و تلفنهای هوشمند پیادهسازی، نصب و راهاندازی نرمافزار را فقط برای برنامههای مورد تأیید بخش فناوری اطلاعات محدود کنند. اگر فهرست مجاز دقیق امکان پذیر نیست، افزودن آرشیوها و برنامههای کاربردی پروکسی افزار شناخته شده به فهرست رد EPP/EDR ضروری است. یک لایه حفاظتی اضافی شامل مسدود کردن ارتباط با سرورهای فرمان و کنترل پروکسیافزار شناخته شده در سراسر شبکه داخلی میشود. اجرای موثر این سیاستها مستلزم دسترسی به منابع اطلاعاتی تهدید به منظور به روزرسانی منظم قوانین با دادههای جدید است.
حملات پر کردن اعتبار و اسپری پسورد[3] شامل پروکسیافزار. مهاجمین اغلب تلاش دارند از پروکسیهای مسکونی در مناطق نزدیک به دفتر سازمان هدف استفاده کنند تا قوانین امنیتی مبتنی بر موقعیت جغرافیایی را دور بزنند. سوئیچ سریع بین پروکسیها به آنها توانایی میدهد محدودیت نرخ پایه مبتنی بر IP را دور بزنند. برای مقابله با چنین حملاتی سازمانها به قوانینی نیاز دارند که جهشهای نامعمول را در تلاشهای ناموفق لاگین شناسایی کنند. شناسایی سایر رفتارهای مشکوک کاربر مانند تغییرات مکرر IP و تلاشهای ناموفق برای ورود به سیستم در چندین برنامه نیز بسیار مهم است. برای سازمانهایی که احراز هویت چند عاملیMFA) ) دارند، اجرای قوانینی که با درخواستهای MFA سریع و مکرر آغاز میشوند نیز میتواند موثر باشد، زیرا این میتواند نشاندهنده یک حمله خستگی مداوم MFA باشد. محیط ایدهآل برای پیادهسازی چنین منطق تشخیصی توسط پلتفرمهای SIEM یا XDR ارائه میشود، در صورتی که شرکت یکی از آنها را داشته باشد.
استفاده تجاری قانونی از پروکسیها. اگر سازمان شما برای مقاصد قانونی مانند تست وبسایت به پروکسیهای مسکونی نیاز داشته باشد انتخاب دقیق فروشنده (یعنی همان سرویس ارائهدهنده PRR) حیاتی است. RPPها را با رویههای قابل اثبات قانونی، گواهیهای مربوطه، و مطابقت مستند با مقررات پردازش و ذخیرهسازی دادهها در تمام مناطق عملیاتی اولویتبندی کنید. اطمینان حاصل کنید که آنها اسناد امنیتی و شفافیت جامعی را در مورد منشاء پروکسیهای مورد استفاده در شبکه خود ارائه میدهند. از ارائه دهندگانی که فاقد تأیید مشتری هستند، پرداخت با ارزهای رمزنگاری شده را میپذیرند یا از حوزههای قضایی با مقررات ضعیف اینترنت کار میکنند، اجتناب کنید.
[1] residential proxy providers (RPPs)
[2] credential stuffing
[3] password spraying
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
