HackerangriffeSchwachstellenCyberkriminalität

Residential Proxies: Wie Angreifer Reputation-Systeme in großem Stil umgehen

Residential Proxies: Wie Angreifer Reputation-Systeme in großem Stil umgehen
Zusammenfassung

Sicherheitsforschern zufolge stellen Residential Proxies eine erhebliche Bedrohung für IP-Reputation-Systeme dar, die traditionell zur Unterscheidung zwischen legitimen Nutzern und Angreifern herangezogen werden. Eine umfassende Analyse von vier Milliarden böswilliger Sitzungen durch die Cybersecurity-Plattform GreyNoise zeigt ein besorgniserregendes Bild: In etwa 78 Prozent der Fälle gelang es Angreifern, ihre Aktivitäten unter Verwendung von Residential Proxies vor Reputationssystemen zu verbergen. Das Kernproblem liegt in der extrem kurzen Lebensdauer dieser Proxies – die meisten werden nur ein bis zweimal genutzt, bevor sie durch andere ersetzt werden. Dies macht es Abwehrsystemen unmöglich, die IP-Adressen zeitig zu erfassen und zu katalogisieren. Besonders bemerkenswert ist, dass Residential Proxies vorwiegend für Netzwerk-Scanning und Aufklärung missbraucht werden, während nur ein kleiner Prozentsatz in tatsächliche Exploits involviert ist. Die Quellen dieser Proxies erstrecken sich über 683 verschiedene Internet-Service-Provider, überwiegend in China, Indien und Brasilien. Diese Entwicklung hat weitreichende Implikationen für deutsche Unternehmen und Behörden, da traditionelle IP-basierte Sicherheitsmaßnahmen zusehends an Wirksamkeit verlieren und eine Neuausrichtung auf verhaltensbasierte Erkennungsmethoden erforderlich wird.

Die Problematik liegt in der Natur der Residential Proxies begründet. Diese nutzen echte Wohngebiet-IP-Adressen, die von echten Internetnutzern stammen — ein entscheidender Vorteil für Kriminelle. Da diese IPs ständig rotiert und nur sehr kurzzeitig aktiv sind, können Sicherheitssysteme sie nicht rechtzeitig katalogisieren. GreyNoise stellte fest, dass etwa 89,7 Prozent der missbräuchlich genutzten privaten IP-Adressen weniger als einen Monat in Angriffsaktivitäten verwickelt sind. Nur 1,6 Prozent bleiben länger als drei Monate aktiv.

Die Dezentralisierung verstärkt das Problem erheblich. Die identifizierten Residential-Adressen stammen von 683 verschiedenen Internetanbietern aus der ganzen Welt — hauptsächlich aus China, Indien und Brasilien. Die Angreifer nutzen diese geografische und infrastrukturelle Vielfalt gezielt aus, um Blockierungen zu vermeiden.

Ein weiterer Faktor ist die Art der Nutzung: Mit 99,9 Prozent werden die kompromittierten IPs überwiegend für Netzwerk-Scanning und Aufklärung eingesetzt. Nur 0,1 Prozent der Angriffe zielen auf tatsächliche Exploits. Etwa 1,3 Prozent richten sich gegen Enterprise-VPN-Login-Seiten, einige wenige auf Path-Traversal oder Credential-Stuffing-Attacken.

Die Quellen dieser Residential Proxies sind vielfältig: IoT-Botnetze und infizierte Computer stellen zwei parallele Ökosysteme dar. Besonders besorgniserregend sind kostenlose VPN-Anwendungen, Adblocker und ähnliche Tools, die unbemerkt Nutzer-Geräte in Bandbreitenschema-Programme einbinden — eine Form der stillen Kompromittierung, die Millionen Europäer betreffen könnte.

Selbst gezielte Disruptions-Maßnahmen zeigen nur begrenzte Langzeitwirkung. Google Threat Intelligence zerstörte kürzlich 40 Prozent der Proxies von IPIDEA, einem der größten Residential-Proxy-Netzwerke. Doch die Kriminellen ersetzten die verlorene Kapazität schnell durch andere Quellen — ein Zeichen der Resilienz dieser dezentralisierten Infrastruktur.

GreyNoise empfiehlt ein Umdenken in der Defensivstrategie: Statt sich allein auf IP-Reputation zu verlassen, sollten Sicherheitsteams auf Verhaltensanalysen fokussieren. Dazu gehört die Erkennung von sequenziellen Scanning-Versuchen rotierender IPs, das Blockieren von verdächtigen Protokollen wie SMB aus ISP-Bereichen und die Verfolgung von Geräte-Fingerprints über IP-Rotationen hinweg. Dies erfordert ein Umdenken in der Cybersecurity-Branche — auch für deutsche Unternehmen.

Ähnliche Artikel