Der Kampf zwischen den Verteidigern und den Internetangreifern ist seit langem eine Sache, Häfen zu schließen oder Patches auf dem neuesten Stand zu halten. Nun, eine Quelle von Problemen, die für viele Organisationen unbemerkt wird, sind die Wohngebiete: Netzwerke von IP-Adressen, die zu Hause gehören und die Kriminellen verwenden, um schädliche Aktivität zu tarnen. Ein neuer Bericht von GreyNoise, der auf der Analyse von Milliarden von Sitzungen basiert, konzentriert sich erneut darauf, wie schwer es für IPs Rufsysteme ist, zwischen einem legitimen Benutzer und einem Angreifer zu unterscheiden, der "eine häusliche Verbindung" durchmacht. Weitere Informationen im eigenen Bericht von GreyNoise: Unsichtbare Armee: Wohnort Proxy Missbrauch.
Die Studiennummern sind gleich: GreyNoise untersuchte eine riesige Anzahl von Sitzungen, die über drei Monate an den Rand des Netzes gerichtet waren und fand, dass etwa 39% dieser Aktivität aus Bereichen stammten, die als Heimverbindungen, d.h. als Wohn-Proxies erscheinen. Aber hier kommt die beunruhigende Sache: die meisten dieser PIs erscheinen nicht in der traditionellen Reputation Feeds. Insbesondere zeigt die Studie, dass ein hoher Prozentsatz - von der Größenordnung von 78% in der Probenahme - bleibt "unsichtbar" für die Listen, die viele Sicherheitsteams verwenden, um verdächtige Traffic zu blockieren.
Warum passiert das? Die Erklärung ist praktisch und leider effektiv für diejenigen, die angreifen: Wohn-PIs in diesen Operationen verwendet sind oft sehr ephemeral, selten verwendet und schnell durch andere ersetzt. Diese strukturierte Rotation verhindert, dass Systeme, die von angesammelten Missbrauch Histories abhängig sind, sie als schädlich katalogisieren, bevor sie bereits verwendet und verworfen wurden. GreyNoise stellte fest, dass die überwiegende Mehrheit dieser Wohn-PIs mit schädlicher Aktivität weniger als einen Monat arbeiten; nur ein Mindestanteil bleibt in Aktion für mehrere Monate.
Neben der Kürze dieser Verbindungen erschwert die geographische und Lieferantenvielfalt das Problem weiter. Die beobachteten PIs stammten von Hunderten verschiedener Internet-Zugangsanbieter - was es schwierig macht, von NSA zu blockieren, ohne legitime Nutzer zu beschädigen - und es gab Konzentrationen in Ländern wie China, Indien und Brasilien. Ein neugieriges Detail, das die Idee unterstützt, dass viele dieser PIs wirklich persönliche oder inländische Geräte sind, ist, dass ihre Aktivität einen Rhythmus hat, der durch menschliche Schlafmuster gekennzeichnet ist: das Volumen ist in der lokalen Nacht deutlich niedrig, wenn die Menschen ihre Ausrüstung ausschalten.
Ein weiterer Faktor, der sie stehlen lässt, ist der Hauptzweck ihrer Verwendung. Die Daten zeigen, dass der größte Teil des Verkehrs aus diesen Richtungen auf die Netzwerkerkennung und das Scannen ausgerichtet ist, nicht direkt auf die Ausführung von Exploits. Nur ein kleiner Prozentsatz endet bei effektiven Ausbeutungsversuchen; diese vorläufige Kartierung ist jedoch, was Angreifern erlaubt, gültige Ziele zu identifizieren und nachfolgende Angriffe zu entwerfen. Unter den beobachteten Aktivitäten waren von massiven Scans zu Versuchen, auf Geschäfts-VPN-Log-In-Seiten und spezielle Fälle von Füllstoff von Anmeldeinformationen oder Traversalrouten zugreifen.
Die Architektur, die diesen Verkehr erzeugt, hat zwei Hauptquellen, nach den Forschern: einerseits, Botnets konzentriert auf IoT-Geräte, die Ressourcen aus einer Vielzahl von engagierten inländischen Geräten belohnen; andererseits, Ausrüstung von Benutzern, die von SDKs in freien Anwendungen - wie VPN-Kunden, Ad-Blocker oder andere Dienstprogramme - infiziert oder börsennotiert werden, diese Geräte in Knoten, die Traffic-Band verkaufen und dienen Drittanbieter.
Ein praktisches Beispiel für die Resilienz des Ökosystems ist das, was einem der größten Wohngebiete (im Bericht genannt) passiert ist. Die koordinierte Intervention von Drohungsteams schaffte es, ihren Adresspool vorübergehend um einen signifikanten Prozentsatz zu reduzieren, aber der linke Raum wurde schnell mit dem Verkehr aus Rechenzentren oder anderen Quellen gefüllt: die Nachfrage wird absorbiert und die Kapazität wird schnell wiederhergestellt. Dies zeigt, dass Lösungen, die darauf ausgerichtet sind, ein isoliertes Stück zu nehmen, die Bedrohung nur selten endgültig beseitigen.
Angesichts dieses Szenarios schlagen GreyNoise und Branchenexperten vor, die Abhängigkeit von IPs Ruflisten als Hauptpfeiler der Verteidigung zu überdenken. Stattdessen, zur Fokussierung von Verhaltensmustern die die Rotation von Adressen überstehen: z.B. Sequenzen von Umfragen, die dem gleichen Muster folgen, auch wenn sie aus verschiedenen IPs stammen, Blockprotokolle, die für ISP-Räume eindeutig unangemessen sind (z.B. SMB im Internet aussetzen) und Geräte- oder Verbindungsdrucke sammeln, die sich bei der IP nicht ändern.
Für Sicherheitsteams und IT-Beamte beinhaltet dies mehrere praktische Konsequenzen. Es geht nicht darum, die Verwendung von Ruflisten vollständig zu eliminieren - sie sind immer noch nützlich -, sondern sie mit Telemetrie, Zeitkorrelation und heuristische Verhaltensanalyse zu kombinieren, um den gleichen Schauspieler trotz der Rotation von PIs zu erkennen. Es ist auch wichtig, kritische Eingabepunkte zu schützen, eine starke Authentisierung anzuwenden und fehlgeschlagenen Zugriff oder ungewöhnliche Umfragemuster zu überwachen. Mit einfachen Worten: Sie müssen weniger auf das Etikett (die IP) und mehr auf das Verhalten schauen.
Die technische und operative Herausforderung ist von entscheidender Bedeutung: die Überwachung und Korrelation großer Ereignissevolumina, die Extraktion von robusten Signalen, ohne falsche positive Signale zu erzeugen und gleichzeitig die Erfahrung legitimer Nutzer nicht zu unterbrechen. Tools wie Web Application Firewalls mit verhaltensbasierten Erkennungsfunktionen, Intrusions-Präventionssystemen, die Netzwerktelemetrie und erweiterte Fingerabdruckmechanismen integrieren, gewinnen in diesem Zusammenhang an Bedeutung. Für diejenigen, die die Logik des Problems besser verstehen wollen und wie Bots und automatisierten Verkehr klassifiziert werden, ist es nützlich, divulgative Analysen wie Cloudflare zu lesen, was ein Bot ist und warum nicht alle das gleiche verhalten: Was ist ein Bot? (Cloudflare).
Wenn etwas den GreyNoise-Bericht klar macht und die Abdeckung, die es empfängt, ist, dass die Wirtschaft und die Technik hinter Wohn-Proxies sich schneller entwickeln als viele traditionelle Verteidigungen. Es reicht nicht mehr aus, verdächtige Adressen zu blockieren: eine ganzheitlichere Vision wird benötigt, wo die Beobachtung des Verhaltens, die Zusammenarbeit zwischen Geheimdienstanbietern und die Implementierung starker Zugangskontrollen einen Unterschied machen. Für diejenigen, die die ursprünglichen Daten und technischen Empfehlungen konsultieren möchten, ist GreyNoise's vollständiger Bericht hier verfügbar: Unsichtbare Armee: Wohnort Proxy Missbrauch und die Fachpresse die Ergebnisse beispielsweise in Bleping Computer.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...