Forscher warnen, dass Wohn-Proxys, die zur Weiterleitung von bösartigem Traffic verwendet werden, ein erhebliches Problem für IP-Reputationssysteme darstellen, da es keine klare Unterscheidung zwischen Angreifern und legitimen Benutzern gibt. Dies liegt hauptsächlich daran, dass Wohn-Proxys zu kurzlebig, unbeteiligt oder systematisch rotiert sind, was Abwehrsysteme daran hindert, sie rechtzeitig effektiv zu katalogisieren. **GreyNoise**, eine Cybersicherheits-Intelligence-Plattform, gelangte nach der Untersuchung eines riesigen Datensatzes von 4 Milliarden bösartigen Sitzungen, die über einen Zeitraum von drei Monaten auf die Edge abzielten, zu dieser Schlussfolgerung. ### Wichtige Erkenntnisse * Etwa 39 % dieser Sitzungen scheinen aus Heimnetzwerken zu stammen, was stark darauf hindeutet, dass sie Teil von Wohn-Proxy-Netzwerken sind. * Ein erheblicher Anteil von 78 % dieser Sitzungen ist für Reputations-Feeds unsichtbar. „Die Daten zeigen ein Muster, das eine Kernannahme der Netzwerkverteidigung in Frage stellt: dass man Angreifer von legitimen Benutzern anhand des Ursprungs des Traffics unterscheiden kann“, erklärt **GreyNoise**. Laut dem Unternehmen werden die meisten Wohn-IPs nur ein- oder zweimal verwendet, bevor sie verschwinden, wobei Angreifer sie schnell genug rotieren, um nicht von Reputationssystemen markiert zu werden. * Ungefähr 89,7 % der Wohn-IPs sind weniger als einen Monat in bösartigen Operationen aktiv. * Nur 8,7 % bleiben zwei Monate aktiv. * Nur 1,6 % bleiben drei Monate aktiv. Diejenigen IPs, die über längere Zeiträume aktiv bleiben, neigen laut den Forschern zur Spezialisierung und konzentrieren sich auf SSH und die Nutzung von Linux TCP-Stacks.  Die Vielfalt erschwert die Erkennungs- und Blockierungsbemühungen weiter. Die Daten von **GreyNoise** deuten darauf hin, dass die an Angriffen beteiligten Wohn-IPs zu 683 verschiedenen Internetdienstanbietern gehören. Ein weiterer Faktor, der zu ihrer Tarnung beiträgt, ist ihre primäre Verwendung für Netzwerksuchen und Aufklärung. Nur 0,1 % sind an tatsächlichen Exploits beteiligt, stellten die Forscher fest. Ein kleiner Prozentsatz (1,3 %) zielte auf Enterprise VPN-Login-Seiten, während begrenzte Fälle auch Wohn-IPs bei Pfadüberlauf- und Credential-Stuffing-Versuchen involvierten. Was den Ursprung dieser Wohn-Proxys betrifft, identifiziert **GreyNoise** China, Indien und Brasilien als Hauptbeitragende. Der Traffic von diesen IPs folgt den Schlafmuster von Menschen und nimmt nachts um etwa ein Drittel ab, wenn die meisten Benutzer ihre Geräte ausschalten.  Die Forscher berichten, dass der Traffic von Wohn-Proxys von zwei unterschiedlichen, sich nicht überschneidenden Ökosystemen generiert wird: IoT-Botnets und infizierte Computer. Im letzteren Fall stammen die Proxys von SDKs, die in kostenlosen VPNs, Ad-Blockern und ähnlichen Apps eingebettet sind, welche Benutzergeräte in Bandbreiten-Verkaufsprogramme einschreiben. **GreyNoise** hob auch die Widerstandsfähigkeit dieser Netzwerke hervor und nannte als Beispiel **IPIDEA**, eines der größten Wohn-Proxy-Netzwerke der Welt. Die **Google Threat Intelligence Group (GTIG)** und ihre Partner haben **IPIDEA** kürzlich gestört. Die Störung reduzierte den Proxy-Pool um etwa 40 %, aber der Datenverkehr aus Rechenzentren nahm danach zu, was darauf hindeutet, dass die Nachfrage von anderen Anbietern absorbiert werden kann und verlorene Kapazitäten schnell ersetzt werden.  ### Abhilfestrategien **GreyNoise** betont, dass die Umgehungstaktiken von Wohn-Proxys erfordern, dass man sich von der IP-Reputation als primärem Signal wegbewegt und sich stattdessen auf Verhaltensanalysen konzentriert. Die Forscher empfehlen: * Erkennung sequenzieller Suchen von rotierenden Wohn-IPs. * Blockierung eindeutig illegitimer Protokolle wie SMB aus dem ISP-Bereich. * Verfolgung von Geräte-Fingerabdrücken, die trotz IP-Rotation bestehen bleiben.