Die Auswertung von GreyNoise zeigt, wie kurzlebig die eingesetzten Adressen sind: 89,7 Prozent der Wohn-IP-Adressen sind weniger als einen Monat an Schadaktivitäten beteiligt, nur 8,7 Prozent über zwei Monate und 1,6 Prozent über drei Monate hinweg. Die wenigen langlebigen Adressen wirken laut den Forschern spezialisiert – sie konzentrieren sich auf SSH und nutzen Linux-TCP-Stacks.
Die Erkennung und Sperrung erschwert zudem die Vielfalt der Herkunft: Die an Angriffen beteiligten Wohn-IP-Adressen verteilen sich auf 683 Internetanbieter. Hinzu kommt, dass die Adressen überwiegend für Netzwerk-Scans und Aufklärung eingesetzt werden; nur 0,1 Prozent waren an tatsächlichen Exploits beteiligt. 1,3 Prozent zielten auf die Anmeldeseiten von Unternehmens-VPNs, in einzelnen Fällen ging es um Path-Traversal- und Credential-Stuffing-Versuche.
Als Hauptquellen der Residential Proxies nennt GreyNoise China, Indien und Brasilien. Der Datenverkehr folgt dabei menschlichen Schlafmustern und geht nachts um rund ein Drittel zurück, wenn die meisten Nutzer ihre Geräte ausschalten.
Nach Angaben der Forscher speist sich der Proxy-Verkehr aus zwei getrennten, nicht überlappenden Ökosystemen: IoT-Botnetzen und infizierten Rechnern. Im zweiten Fall stammen die Proxys aus SDKs in kostenlosen VPNs, Werbeblockern und ähnlichen Apps, die die Geräte der Nutzer unbemerkt in Systeme zum Verkauf von Bandbreite einbinden.
Wie widerstandsfähig diese Netze sind, verdeutlicht GreyNoise am Beispiel von IPIDEA, einem der weltweit größten Residential-Proxy-Netzwerke, das kürzlich von der Google Threat Intelligence Group (GTIG) und Partnern gestört wurde. Die Maßnahme verkleinerte den Proxy-Pool um etwa 40 Prozent – doch im Anschluss stieg der Datacenter-Verkehr an. Das deutet darauf hin, dass die Nachfrage bei Bedarf von anderen Anbietern aufgefangen und verlorene Kapazität rasch ersetzt wird.
Als Konsequenz fordert GreyNoise, die IP-Reputation als primäres Signal aufzugeben und stattdessen auf Verhalten zu setzen. Konkret raten die Forscher dazu, sequenzielles Abtasten durch rotierende Wohn-IP-Adressen zu erkennen, eindeutig unzulässige Protokolle wie SMB aus dem Adressraum von Internetanbietern zu blockieren und Geräte-Fingerabdrücke zu verfolgen, die einen IP-Wechsel überdauern.
