Ключевые тезисы:

• Провайдеры резидентных прокси и хостинг-компании с «непробиваемыми» серверами (bulletproof hosting) сегодня выступают главными инфраструктурными посредниками в киберпреступном бизнесе.

• Провайдеры резидентных (локальных) прокси предоставляют миллионы IP-адресов с точной геолокацией, позволяя злоумышленникам обходить антифрод-системы и ИБ-механизмы предприятий, госорганов и торговых платформ.

• Эффективность блок-листов IP-адресов снижается, поскольку объёмы доступных прокси растут. Это повышает значимость контроля на уровне соединений и сессий.

• Ожидается, что поставщики резидентных прокси начнут обходить и этот тип защиты, в том числе путём загрузки отдельных программных модулей на заражённые пользовательские устройства, что позволит им выполнять целевые задачи.

• Уже сегодня такая модульная модель используется рядом поставщиков в странах Восточной Азии, где прокси-массы формируются через эксплуатацию уязвимостей в дешёвых IoT-устройствах и предустановку вредоносного ПО на Android-устройства AOSP.

• Исследование охватывает текущий рост рынка резидентных прокси, а также их роль в киберпреступности, ранее характерную для «непробиваемого» хостинга и прокси-сервисов.

Что такое резидентный (локальный) прокси?

Резидентный прокси — это прокси-соединение, использующее интернет-устройство конечного пользователя (ПК, смартфон, умный телевизор, роутер и др.) для предоставления сетевого доступа третьим лицам. Такой доступ может быть как с согласия владельца, так и — что чаще — без его ведома. В результате создаётся иллюзия, что интернет-активность исходит от обычного домашнего пользователя, а не от злоумышленника. Это позволяет киберпреступникам маскироваться и обходить системы защиты, расширяя теневой рынок хостингов и прокси.

Факторы роста этого феномена:

1. Смена бизнес-моделей киберпреступности, связанная с массовыми утечками данных в результате атак вымогателей и вторжений последних лет. Преступники стремятся монетизировать терабайты персональных данных, используя резидентные прокси для анонимизации доступа.

2. Расширение удалённой работы после пандемии COVID-19 увеличило поверхность атаки — больше устройств, больше уязвимостей, больше возможностей для вторжений.

3. Ужесточение киберзащиты со стороны инфраструктур, в том числе улучшение механизмов фильтрации трафика с традиционного bulletproof-хостинга — это делает атаки с таких источников менее результативными.

Будущее рынка

Авторы прогнозируют:

• Уход от простой прокси-модели к инфраструктурам с загружаемыми модулями, способными выполнять задачи: подбор учётных данных, парсинг, обход антибот-систем и т.д.

• Распространение практики обхода блокировок по сигнатурам сетевых пакетов, в том числе путём имитации «естественного поведения» конечных точек.

• Рост числа провайдеров прокси, официально заявляющих о легальности, но фактически использующих технику киберботнетов.

Что это значит для ИБ-отделов:

Необходимо перейти от реактивной защиты к проактивной стратегии, используя инструменты:

• для отслеживания развития атакующих тактик,

• для раннего выявления угроз и

• для формирования модели управления рисками до инцидента, а не после.

Эволюция бизнес-процессов в киберпреступности

Как и легальные бизнес-практики, операции киберпреступников со временем эволюционируют. Этому способствуют несколько факторов:

• необходимость обходить улучшенные средства защиты и ИБ-продукты,

• появление новых технологий, таких как генеративный искусственный интеллект (GenAI),

• изменения в поведении пользователей в интернете,

• геополитические сдвиги.

Изменения бизнес-моделей киберпреступности ведут и к трансформации подпольных сервисов, а также к новым способам использования легальных платформ. Яркий пример — взлёт поставщиков резидентных прокси-сервисов за последнее десятилетие. Эти компании не только частично вытеснили традиционные прокси и bulletproof-хостинг, но и успешно их дополняют. На сегодняшний день резидентные прокси-провайдеры и хостинг-компании с защитой от преследования работают бок о бок как ключевые инфраструктурные элементы киберпреступной экосистемы.

Кончина традиционного bulletproof-хостинга?

Классические поставщики bulletproof-хостинга и прокси долгое время были известны как удобные платформы для:

• парсинга данных (data scraping),

• сетевого сканирования,

• рассылки спама,

• размещения вредоносного ПО,

• управления C&C-серверами,

• а также маршрутизации трафика через многоуровневые цепочки для затруднения отслеживания источников атак.

Эти сервисы также позволяли обходить геоблокировки и антифрод-системы, ориентирующиеся на геолокацию IP-адреса.

С одной стороны, IP-адреса bulletproof-хостингов сложно деанонимизировать или отключить через международные правоохранительные органы. Но с другой — их стало проще обнаруживать и блокировать благодаря улучшенным ИБ-средствам. В результате они стали менее привлекательными для преступников, и на смену пришли резидентные прокси — с «домашним» трафиком, сложным для фильтрации.

Почему резидентные прокси эффективнее?

Провайдеры резидентных прокси позволяют злоумышленникам эффективнее обходить антифрод-системы, поскольку предоставляют огромные пулы «домашних» IP-адресов. Это позволяет:

• имитировать активность из реальных жилых районов,

• использовать трафик, который визуально и технически похож на обычный легитимный доступ,

• оставаться незаметными для автоматизированных средств защиты.

Именно поэтому рынок резидентных прокси стал полноценной бизнес-экосистемой, которая не столько заменила, сколько дополнила рынок bulletproof-хостинга.

Развитие рынка резидентных прокси

Первые поставщики резидентных прокси (RESP) появились около 2014 года, и с тех пор рынок значительно вырос. Сегодня существуют:

• множество брендов,

• разные модели предоставления услуг,

• крупные компании, заявляющие о миллионах доступных IP-адресов,

• и более мелкие игроки с ограниченными пулами.

Несмотря на бурный рост числа провайдеров резидентных прокси, рынок по-прежнему остаётся непрозрачным: компании зачастую не раскрывают источники выхода в сеть (exit nodes). Отмечается также значительное пересечение IP-адресов у разных поставщиков, что объясняется тем, что многие из них действуют под разными именами, но используют одну и ту же техническую инфраструктуру. Кроме того, они предоставляют партнёрские (реферальные) программы, и используют прокси-пулы других провайдеров, расширяя свою зону охвата.

Сегодня резидентные прокси — критически важный инструмент в операциях цифрового подполья. Они позволяют маскировать личность, обходить гео- и антифрод-ограничения, действовать с видимостью легитимного трафика.

Основные способы злоупотребления резидентными прокси:

• Парсинг данных для мониторинга рынка и анализа конкурентов

• Сбор данных для обучения больших языковых моделей (LLM)

• Нарушение авторских прав

• Мошенничество в онлайн-рекламе (ad fraud, click fraud)

• Обход антифрод-систем в электронной коммерции и финансовых учреждениях

• Credential spraying (массовый перебор логинов и паролей)

• Массовое управление аккаунтами в соцсетях, в том числе для распространения дезинформации

• Обход геозависимых ограничений (geo-fencing)

• Анонимизация и создание прокси-слоёв, включая "операционные ретрансляторы" (ORB), применяемые APT-группами

Резидентные прокси становятся универсальным орудием подрыва бизнес-процессов в разных отраслях. Примеры:

• Платные рекламные кампании теряют эффективность из-за клик-фрода и атак на бизнес-логику систем.

• Финансовые учреждения, маркетплейсы и телеком-компании страдают от улучшенных схем обхода антифрода.

• Масштабируемое создание фейковых аккаунтов, симуляция активности и вовлечённости в социальных сетях позволяют манипулировать общественным мнением, продвигать мошеннические схемы, а также влиять на рынок акций, что несёт угрозу государствам, фондовому сектору и населению.

Bulletproof-хостинг против резидентных прокси

Резидентные прокси устанавливаются на устройствах, принадлежащих обычным пользователям — ноутбуках, планшетах, смартфонах, роутерах, смарт-ТВ, ТВ-приставках. Это позволяет формировать пулы IP-адресов из сотен тысяч и более. Через такие IP идёт смешанный трафик: с одной стороны — легитимный от владельца устройства, с другой — прокси-трафик, генерируемый злоумышленниками. Из-за этого невозможно пометить каждый IP как «вредоносный» или «безопасный». Используя такие адреса, киберпреступники могут масштабировать подмену личностей, использовать автоматическую ротацию IP, дешёво обходить фильтры, включая антифрод-системы. Всё это способствует развитию новой криминальной модели, в которой резидентные прокси и bulletproof-хостинг работают в связке, подпитывая подпольную инфраструктуру.

Выявление резидентных прокси

Теперь, когда ясно, почему резидентные прокси так привлекательны для атакующих, нужно понимать: их обнаружение и нейтрализация — крайне сложная задача.

В отличие от обычных прокси или VPN, резидентные сервисы используют огромные и распределённые IP-пулы, что требует риск-ориентированных стратегий со стороны организаций и e-commerce-платформ.

Что можно предпринять?

Владельцы сайтов и сервисов могут применять методы сетевой идентификации, включая JA4+ — технику open-source-фингерпринтинга, впервые описанную FoxIO.
Метод позволяет сопоставлять признаки сетевых пакетов, проводить охоту на угрозы, выявлять прокси-активность без привязки к IP.

Признаки, которые использует JA4+ для анализа:

1. Длина пакета – максимальный объём данных в одном TCP-сегменте (MSS).

2. Длина TCP-заголовка – в байтах, в SYN-пакете.

3. Размер TCP-окна – сколько данных получатель готов принять без подтверждения.

4. Window Scale – масштаб окна: насколько можно увеличить размер окна.

5. MSS (ещё раз) – ограничение на полезную нагрузку пакета.

6. Порядок TCP-опций – уникальный порядок, зависящий от реализации клиента/сервера. Примеры:

   • NOP (No-Operation)

   • WScale

   • MSS

   • SACK (Selective Acknowledgment)

Эти параметры формируют сетевой отпечаток, который практически не меняется, если не изменена сетевая конфигурация устройства. Также отпечаток может варьироваться из-за промежуточных прокси-узлов, что делает метод особенно полезным для выявления резидентных прокси.

Эксперимент: фингерпринтинг трафика прокси

В ходе исследования проведено два теста:

1. Малый тест — один целевой узел через Socks5.

2. Широкий тест — около 1500 конечных точек в 80 странах.

В первом тесте использовались длина пакета и TCP-заголовка как основные параметры фингерпринта.
В таблице 1 представлены результаты: анализ трафика, прошедшего через разные туннели к тестовому веб-серверу (порт 443, протокол TLS 1.3).

Результаты первого теста

В первом, небольшом тесте мы записывали сетевой трафик, проходящий через различные туннели, на наш собственный веб-сервер.

Как показали результаты, операционные системы можно классифицировать по длине пакета, длине TCP и отпечатку JA4T. Даже одна и та же ОС демонстрирует различные сетевые характеристики при изменении конфигурации сети.

Размер TCP-окна у протестированного нами резидентного прокси составил 65 535 — этот показатель совпал только с подключением через Tor. Также была зафиксирована нетипичная длина пакета: 1508 байт в большинстве подключений, 1396 байт — у многих коммерческих и частных VPN. Значение window scale также существенно отличалось от стандартного.

Результаты второго теста: 1500 точек доступа, 1,5 млрд пакетов

Во втором, более масштабном эксперименте мы исследовали 1500 конечных точек в 80+ странах. За 5 дней собрали 1,5 миллиарда SYN-пакетов, использовали JA4T-отпечатки для анализа, проходил ли трафик через известные сети резидентных прокси. Результаты верифицировались через стороннюю IP-репутационную систему, и дали точность (true positive rate) около 60% (см. Таблицу 2).

Мы полагаем, что логирование длины пакета и JA4T-фингерпринтов на интернет-гранящих устройствах организаций и госструктур — важный элемент раннего обнаружения подозрительных подключений. Хотя мы не рекомендуем блокировать соединения исключительно по отпечаткам, они могут быть использованы как индикатор угрозы, в совокупности с другими событиями (например, множественные неудачные попытки входа в почтовый или VPN-сервер).

Также стоит учитывать: в коммерческих VPN-решениях отпечатки JA4T могут варьироваться в зависимости от порта назначения, поэтому рекомендуется адаптировать политику блокировок с учётом этого и консультироваться с источником — блогом FoxIO.

Таблица 2 показывает распределение уникальных IP по отпечаткам JA4+ в эксперименте.
Таблица 3 демонстрирует, как инфраструктура прокси влияет на формирование фингерпринта. Независимо от того, используется DSL или сотовая сеть, тестируемый резидентный прокси всегда демонстрирует длину пакета: 1456 байт, TCP длину: 1388 байт, TCP window size: 65 535.

Оценка расстояния и туннелирования

FoxIO также предложил метод расчёта предполагаемого расстояния от клиента до сервера, позволяющий выявить наличие туннелей. Однако в тестах результаты оказались нестабильными. Соединение "Wireguard на домашнем роутере" дало JA4L = 3040 мкс; 3040 × 0.206 (км/мкс) ÷ 1.5 (коэффициент задержки) = 417.5 км, но база GeoIP (например, MaxMind) показывает, что расстояние до IP < 100 км, что свидетельствует о наличии туннеля. Тем не менее, сотовые сети или виртуальные машины могут также создавать такую задержку, поэтому есть риск ложноположительных срабатываний.

Будущее: модульные прокси-системы и новые риски

Поставщики прокси могут использовать модульную архитектуру, загружая в устройства отдельные компоненты для прокси-услуг, скрейпинга сайтов, мошенничества и подбора учётных данных.

Различные типы резидентных прокси рассмотрены в приложении к исследованию.

Заключение и рекомендации по обеспечению безопасности

Резидентные прокси являются одной из новейших моделей развивающегося преступного бизнеса, вызванной необходимостью киберпреступников адаптироваться к усовершенствованным стратегиям защиты. Используя новые технологии и изменения в поведении пользователей, резидентные прокси трансформируют традиционные рынки bulletproof-хостинга и прокси-сервисов. Киберпреступники эксплуатируют обширные пулы резидентных IP-адресов для эффективного обхода антифрод-систем и имитации действий легитимных пользователей, что представляет собой новый набор вызовов для специалистов по кибербезопасности. Кроме того, резидентные прокси могут использоваться для перебора паролей и другой вредоносной деятельности при отсутствии соответствующих механизмов защиты.

Рост преступного использования резидентных прокси делает неэффективными блок-листы и белые списки IP-адресов, особенно потому, что их применение приводит к смешению вредоносного и легитимного трафика от миллионов домашних пользователей. Поэтому возникает потребность в более детализированной фильтрации, разделяющей легитимный и вредоносный трафик на основе сетевых фингерпринтов и характеристик сессий, а не только по репутации IP-адресов. Механизмы безопасности, такие как DDI (система доменных имён [DNS], протокол динамической настройки хостов [DHCP] и управление IP-адресами [IPAM]), могут использоваться для блокировки вредоносной активности по специфическим шаблонам атак.

Крупные сети доставки контента (CDN) могут обучать модели искусственного интеллекта (AI) для различения трафика реальных интернет-пользователей и ботов. Уже несколько лет поставщики контентных сервисов классифицируют сессии, анализируя движения мыши или применяя challenge–response тесты.

Похожий подход, который опирается на более широкие источники данных и интегрирует глубокие корреляции между сетевыми потоками и информацией, используемой в ключевых бизнес- и финансовых процессах, также может улучшить обнаружение угроз. Такой подход будет особенно полезен для защитников в сферах электронной коммерции, финансов, медиа и других организаций с широкой веб-инфраструктурой. Кроме того, возможна и более точная классификация на основе сессий и сетевых фингерпринтов, как обсуждалось ранее. Сетевые пакеты, проходящие через цепочки прокси от атакующего на резидентном подключении, имеют технический отпечаток, отличный от пакетов, отправляемых законным владельцем этого же подключения.

Хотя отпечатки Ja4T хорошо подходят для обнаружения входящих подключений от VPN-сервисов и резидентных прокси, более старые методы фингерпринтинга, такие как JA3 и JA3S, также являются полезными инструментами. JA3 и JA3S можно использовать для группировки IP-адресов, участвующих в одной и той же атакующей кампании против интернет-серверов. Для распознавания прокси, VPN и резидентных прокси мы рекомендуем использовать Ja4T, так как он лучше решает задачу, с которой сталкиваются команды SOC, — различить трафик от легитимных пользователей резидентных IP-адресов и трафик с тех же IP, но сгенерированный третьими лицами через прокси-сервисы.

Мы прогнозируем, что некоторые поставщики резидентных прокси перейдут к модульной архитектуре, способной загружать различные программные модули для задач проксирования, скрейпинга сайтов и мошенничества. Такая модель уже используется структурами в странах Восточной Азии, применяющими предзаражённые устройства. Другие поставщики могут также перейти к модульной архитектуре, сохранив при этом традиционные методы распространения, такие как SDK. В этой модульной модели резидентные узлы могут выполнять задачи самостоятельно, что позволит обходить продвинутые методы фингерпринтинга, основанные на характеристиках сетевых пакетов, типичных для многоступенчатых прокси-соединений. Это значительно усложнит защиту от резидентных прокси.

Для борьбы с злоупотреблениями резидентными прокси организациям необходимо перейти к стратегиям, основанным на оценке рисков, включая отказ от полагания исключительно на IP-репутацию и внедрение более точных методов фильтрации, основанных на сетевых фингерпринтах и характеристиках сессий. Передовые механизмы обнаружения, такие как JA4+ и платформы на базе искусственного интеллекта (например, Trend Micro CREM), предлагают перспективные решения для распознавания подключений, происходящих от резидентных прокси. Эти технологии помогают защитникам различать законное использование резидентных IP-адресов владельцами и злоупотребления теми же адресами со стороны преступников.

Чтобы снизить риски, связанные с поставщиками резидентных прокси, мы рекомендуем конечным пользователям не устанавливать программное обеспечение, которое предлагается бесплатно или со скидкой в обмен на использование их интернет-канала для нужд прокси-провайдера. Риски от такого участия значительно превышают потенциальную выгоду. Дополнительно, правоохранительные органы могут заняться расследованием в отношении наиболее проблемных и злоупотребляющих резидентных прокси-сервисов, начав активные действия по выявлению злоупотреблений.