Os sistemas tradicionais de reputação de IP estão a enfrentar um grande desafio para travar as ameaças modernas. Segundo um relatório detalhado da GreyNoise, os proxies residenciais são cada vez mais utilizados para encaminhar tráfego malicioso, eliminando a distinção clara entre atacantes e utilizadores legítimos.
A plataforma de inteligência em cibersegurança chegou a esta conclusão após analisar um vasto conjunto de dados composto por quatro mil milhões de sessões maliciosas ao longo de um período de três meses. Os resultados mostram que cerca de 39% destas sessões parecem ter origem em redes domésticas. O dado mais alarmante é que 78% desse tráfego passa completamente despercebido aos sistemas de monitorização e aos feeds de reputação atuais.
O ciclo de vida curto dos endereços residenciais
A dificuldade em detetar estas ameaças reside na natureza efémera dos proxies residenciais. A maioria dos endereços IP domésticos é utilizada apenas uma ou duas vezes antes de desaparecer, com os atacantes a rodarem as ligações a um ritmo que impede os sistemas defensivos de os catalogarem atempadamente. Os dados indicam que 89,7% destes endereços estão ativos em operações maliciosas durante menos de um mês. Apenas uma pequena percentagem sobrevive mais tempo, com 1,6% a persistir por três meses, sendo estes focados em ataques SSH e na utilização de pilhas TCP do sistema operativo Linux.
A complexidade aumenta quando se constata que estes endereços pertencem a 683 fornecedores de serviços de internet diferentes. O principal objetivo destas redes é a sondagem e o reconhecimento de vulnerabilidades, com apenas 0,1% a estar envolvido em explorações diretas de falhas. Adicionalmente, uma pequena fração de 1,3% concentra-se em atingir páginas de início de sessão de redes privadas empresariais ou em tentativas de preenchimento de credenciais.
A origem das ameaças e o foco no comportamento
No que toca à proveniência geográfica, grande parte destes proxies tem origem na China, na Índia e no Brasil. Curiosamente, o tráfego gerado segue os padrões de sono humanos, registando uma quebra de um terço durante a noite, período em que as pessoas costumam desligar os seus equipamentos de rede em casa. Este ecossistema é alimentado essencialmente por duas vias: redes de botnets em dispositivos da Internet das Coisas e computadores infetados através de ferramentas escondidas em aplicações gratuitas e bloqueadores de anúncios.
A resiliência destas redes criminosas é notável e adapta-se rapidamente aos bloqueios. Quando a IPIDEA, uma das maiores redes de proxies residenciais do mundo, foi desmantelada pelo Grupo de Inteligência de Ameaças da Google, a sua capacidade caiu cerca de 40%. No entanto, o tráfego proveniente de centros de dados aumentou logo de seguida, mostrando que a procura consegue ser rapidamente absorvida por outras vias de ataque. Face a este cenário, os investigadores recomendam que a defesa das redes deixe de depender exclusivamente da reputação estática dos endereços IP, focando-se antes na análise comportamental, no bloqueio de protocolos ilegítimos fornecidos por redes domésticas e no rastreio de assinaturas de dispositivos que sobrevivem à constante rotação de endereços.
Nenhum comentário
Seja o primeiro!