Des chercheurs alertent sur l’utilisation de proxies résidentiels pour diriger des trafics malveillants, mettant en péril les systèmes de réputation IP. La difficulté réside dans l’incapacité à différencier les attaquants des utilisateurs légitimes.
Cette situation survient car les proxies résidentiels ont une durée de vie trop courte, sont souvent non impliqués ou systématiquement tournés, ce qui empêche les systèmes de défense de les cataloguer correctement. Sur une étude effectuée par la plateforme d’intelligence en cybersécurité GreyNoise, un exemplaire de 4 milliards de sessions malveillantes a été analysé sur une période de trois mois.
Environ 39 % de ces sessions semblent provenir de réseaux domestiques, vraisemblablement intégrés dans des proxies résidentiels, mais 78 % d’entre elles échappent aux systèmes de réputation.
GreyNoise souligne que la plupart des IP résidentiels sont utilisées une ou deux fois avant de disparaître, les attaquants les remplaçant rapidement par d’autres, ce qui rend difficile leur détection par les systèmes de réputation.
Environ 89,7 % des IP résidentielles actives dans des opérations malveillantes le sont pendant moins d’un mois, tandis que seulement 8,7 % durent deux mois et 1,6 % trois mois. Celles qui persistent plus longtemps semblent se spécialiser dans des activités spécifiques, s’orientant vers SSH et utilisant des protocoles TCP Linux.
Source: GreyNoise
La diversité des sources complique également la tâche des systèmes de défense, car les IPs résidentielles participant à ces attaques proviennent de 683 fournisseurs d’accès à Internet.
La discrétion de ces proxies est renforcée par leur utilisation prédominante pour le scanning réseau et la reconnaissance, avec seulement 0,1 % impliqués dans des exploits effectifs. Un faible pourcentage (1,3 %) cible des pages de connexion VPN d’entreprises, tandis que d’autres cas isolés montrent des IP résidentielles utilisées dans des tentatives de credential stuffing et de traversée de chemin.
Selon GreyNoise, les principaux pays générant du trafic via ces proxies résidentiels comprennent la Chine, l’Inde et le Brésil. Le trafic suit des cycles de sommeil humains, chutant d’un tiers la nuit lorsque la plupart des utilisateurs éteignent leurs appareils.
Source: GreyNoise
Les chercheurs rapportent que le trafic des proxies résidentiels émane de deux écosystèmes distincts : les botnets IoT et les ordinateurs infectés. Dans le cadre de ces derniers, les proxies sont souvent issus de SDK dans des applications gratuites de VPN, de bloqueurs de publicité, et d’autres programmes qui intègrent les appareils des utilisateurs dans des systèmes de vente de bande passante.
GreyNoise a également mis en avant la résilience de ces réseaux, en prenant l’exemple d’IPIDEA, l’un des plus grands réseaux de proxies résidentiels mondialement. Ce dernier a récemment subi une disruption par le Google Threat Intelligence Group et ses partenaires, qui a réduit son pool de proxies d’environ 40 %. Cependant, en conséquence, le trafic des centres de données a augmenté, démontrant que la demande peut être rapidement satisfaite par d’autres sources.
Source: GreyNoise
GreyNoise suggère que pour contrer ces tactiques d’évasion, les systèmes de défense doivent se détourner de la réputation IP comme signal principal et se concentrer sur le comportement. Les chercheurs recommandent de détecter des probes séquentiels provenant d’IP résidentielles tournantes, de bloquer les protocoles clairement illégitimes comme le SMB et de suivre les empreintes des dispositifs qui survivent malgré la rotation des IP.