Жилые прокси сводят на нет защиту, основанную на IP-адресах

Вредоносный трафик проходил через обычные домашние и мобильные подключения, что ограничивало эффективность репутационных проверок IP-адресов самих по себе.

За 90-дневный период было зафиксировано 4 миллиарда вредоносных сессий, активность которых на сетевом уровне выглядела неотличимой от обычного пользовательского трафика.

Трафик перенаправлялся через прокси-серверы, использующие потребительский широкополосный доступ, мобильные данные и подключения малого бизнеса. Эти же диапазоны IP-адресов используются сотрудниками, клиентами и партнерами, что затрудняет выделение вредоносной активности только на основе адреса источника.

«Значительная часть индустрии безопасности строила защиту вокруг идеи, что по IP-адресу можно определить намерения. Это исследование доказывает, что данное предположение в больших масштабах больше не работает. Почти 4 из 10 IP-адресов, атакующих наши сенсоры, являются резидентными, что указывает на масштабы компрометации домашнего интернет-оборудования. Злоумышленники превратили в оружие инфраструктуру, которой мы доверяем больше всего, и каждая организация, полагающаяся на репутацию IP как на основной защитный слой, сейчас уязвима».

Кратковременные IP-адреса меняют условия обнаружения

Резидентное адресное пространство составляло большую долю систем, сканирующих периметр предприятий. Эти IP-адреса появлялись ненадолго, генерировали небольшое количество сессий, а затем менялись. Большинство резидентных адресов наблюдались лишь один или два раза.

Такая модель ограничивала полезность средств контроля, основанных на репутации. Адреса часто менялись до того, как их успевали внести в каталоги или передать через системы обнаружения.

Активность оставалась широко распределённой. Всего 683 интернет-провайдера были источниками резидентного атакующего трафика, и ни одна сеть не составляла более 8% от общего объёма. Одни и те же провайдеры обслуживали как легитимный пользовательский трафик, так и вредоносную активность.

Скомпрометированные устройства поставляли инфраструктуру

Резидентный прокси-трафик поступал от скомпрометированных потребительских систем. Его формировали различные группы устройств.

Одна группа состояла из давних червеобразных заражений систем Windows. Эти заражения продолжали сканирующую активность в течение долгого времени без ведома пользователей. Другая группа включала IoT-устройства, такие как маршрутизаторы и камеры, которые были вовлечены в ботнеты через стандартные учётные данные Telnet.

Две группы действовали независимо друг от друга. Не было обнаружено пересечений между резидентными IP-адресами, задействованными в активности червя SMB, и теми, что использовались для вербовки в ботнеты через Telnet, что указывает на различные источники активности.

Поведение устройств отражалось в паттернах трафика

Часть домашнего трафика отражала способы использования скомпрометированных устройств. GreyNoise отметил, что активность, связанная с домашними ПК в Индии, снижалась в ночные часы, с падением на 34% между дневным пиком и ночным минимумом в течение периода наблюдения.

В отчете наиболее вероятным объяснением были названы циклы включения/выключения питания устройств, а также отмечены альтернативные факторы, такие как перераспределение IP-адресов и модели использования.

Для сравнения, SSH-трафик с серверов из дата-центров демонстрировал минимальные колебания, оставаясь в узком диапазоне в течение дня.

Эти паттерны соответствовали наличию скомпрометированных потребительских устройств, а не выделенной атакующей инфраструктуры.

Резидентные прокси поддерживали разведывательную деятельность

Резидентные IP-адреса в основном были связаны со сканированием и разведкой. Только 0,1% резидентных сессий несли полезную нагрузку для эксплуатации уязвимостей по сравнению с 1,0% сессий от хостинговой инфраструктуры.

Резидентные прокси использовались для зондирования открытых сервисов, включая корпоративные VPN-шлюзы. Данные включают 33 резидентных IP-адреса, нацеленных на страницы входа в VPN, и сигнатуры корпоративных VPN-клиентов, обнаруженные на 48 резидентных IP-адресах, взаимодействующих с периферийными системами.

В отчете описан паттерн, при котором резидентная инфраструктура использовалась для картирования целей, после чего следовала активность из хостинговых сред.

«Резидентные прокси — это кошмар для защитников, — заявил Эндрю Моррис, главный архитектор GreyNoise. — Они сводят на нет любую защиту, основанную на IP-адресах и геолокации. Сборщики контента для ИИ резко увеличили спрос на эти сети, а компании, стоящие за ними, не думают о безопасности или злоупотреблениях — стимулы не соответствуют реальности, создавая идеальный шторм. Государственные структуры туннелируют трафик атак и управления через телефоны обычных людей во время активных конфликтов, и ситуация будет только ухудшаться».

Нарушения работы изменили использование инфраструктуры

Нарушение работы крупных прокси-сетей привело к краткосрочным изменениям в активности. Исследователи описали сбой в сети IPIDEA в январе 2026 года, который сократил ее пропускную способность примерно на 40%.

После этого события количество сессий, связанных с живыми пользователями и ассоциированных с отпечатками IPIDEA, сократилось на 46% с декабря по февраль. В то же время сессии, основанные на хостинге, увеличились за тот же период. В отчёте этот сдвиг описан как закономерный, когда операторы заменяют утраченные жилые мощности инфраструктурой дата-центров.

GreyNoise также отметили, что прокси-сети, как правило, восстанавливаются после сбоев, и активность возвращается через новую или реконструированную инфраструктуру.