Giriş
Siber güvenlik alanında son zamanlarda belirlenen bir tehdit, konut proxy’leri aracılığıyla yönlendirilen kötü niyetli trafiğin, IP itibar sistemleri üzerinde yarattığı ciddi sorunlardır. Araştırmalar, atakçıların meşru kullanıcılarla karışmasını sağlayan bu yapıların, etkili savunma sistemlerinin kritik varsayımlarını sorgulamakta olduğunu ortaya koyuyor.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, GreyNoise siber güvenlik istihbarat platformu, son üç ayda 4 milyar kötü niyetli oturumu inceleyerek bu durumu tespit etti. Kesinlikle konut proxy’lerinden kaynaklandığı düşünülen bu oturumların yaklaşık %39’u ev ağlarından gelirken, %78’i IP itibar veri akışları tarafından görünmez kalmaktadır.
GreyNoise‘a göre, çoğu konut IP’si bir veya iki kez kullanıldıktan sonra kaybolmakta ve atakçılar, bunları başka IP’lerle değiştirerek itibar sistemlerinin alarm zillerini çalmalarını engellemektedir. Bu IP’lerin %89.7’si, kötü niyetli operasyonlarda bir ay içinde aktifken, sadece %8.7’si iki ay, %1.6’sı ise üç ay boyunca kullanılmaktadır. Bu uzun ömürlü IP’ler genellikle SSH yönelimli ve Linux TCP yığınları kullanan bir yapı taşımaktadır.
Etkilenen Sistemler
GreyNoise verilerine göre, konut IP’leriyle gerçekleştirilen saldırılarda 683 internet servis sağlayıcısından (ISP) kaynaklanmaktadır. Bu IP’lerin çoğu, esasen ağ taraması ve keşif için kullanılırken, yalnızca %0.1’i gerçek istismarlarla ilişkilendirilmektedir. Küçük bir oranda (%1.3) ise kurumsal VPN giriş sayfalarına yönelik saldırılar gözlemlenmiştir.
Konut proxy’lerinin kaynağı olarak, Çin, Hindistan ve Brezilya öne çıkmakta; trafiğin kullanıcıların uyku düzenine göre değişmesi, gece saatlerinde, yani insanların cihazlarını kapattığı zamanlarda %33 oranında düştüğü de gözlemlenmiştir.
Çözüm ve Korunma
Araştırmacılar, konut proxy trafiğinin iki ayrı, örtüşmeyen ekosistem tarafından üretildiğini bildirmektedir: IoT botnetleri ve enfekte olmuş bilgisayarlar. İkinci grup için, proxy’ler ücretsiz VPN’ler, reklam engelleyiciler ve benzeri uygulamalarda bulunan SDK’lar aracılığıyla gelir.
GreyNoise, bu ağların dayanıklılığını örneklemiş olup, dünya çapındaki en büyük konut proxy ağı olan IPIDEA‘nın bazen etkili bir şekilde bozularak %40 oranında azaldığını ancak bu sürecin ardından veri merkezi trafiğinin arttığını göstermektedir. Bu durum, talebin ihtiyaç duyulduğunda diğer kaynaklar tarafından karşılanabileceğini ve kaybolan kapasitenin hızlı bir şekilde geri kazanılabileceğini göstermektedir.
Konut proxy’lerinden kaçınma taktikleri, IP itibarını birincil sinyal olarak terk edilmesini gerektirmekte ve bunun yerine davranış odaklı bir yaklaşım benimsenmesini önermektedir. Araştırmacılar, döngüsel kullanımda konut IP’lerinden gelen arka arkaya taramaları algılayarak, ISP alanından açıkça yasadışı protokollerin (örneğin SMB) engellenmesini ve IP değişikliğinden bağımsız olarak cihaz parmak izlerinin izlenmesini tavsiye etmektedir.
Sonuç
Küçük konut proxy’lerinin yarattığı tehditlere karşı önlem almak için, sistemlerinizi hemen güncellemeli ve IP itibar sistemlerine güven yerine davranışsal analize geçiş yapmalısınız. Ağlarınızı etkin şekilde koruyabilmek için gerekli güvenlik kurallarını gözden geçirip, izleme mekanizmalarınızı güçlendirin.
