11.05.2025

Прокси-серверы: скрытые угрозы для кибербезопасности

В последние годы злоумышленники и операторы красных команд активно применяют прокси-серверы для ретрансляции сетевого трафика через промежуточные сервера. Это позволяет им эффективно обходить контроль периметра и скрывать свою инфраструктуру. Отчет о текущих тенденциях в использовании прокси-серверов предоставляет важные insights о методах, используемых киберпреступниками.

Распространенные инструменты прокси-серверов

Среди прокси-серверов с открытым исходным кодом, наиболее известными являются:

IOX — поддерживает переадресацию TCP и UDP, а также туннелирование через SOCKS5;
FRP (быстрый обратный прокси-сервер) — предоставляет доступ к внутренним службам за барьерами NAT и брандмауэра;
Rakshasa — предназначен для гибкой переадресации TCP-трафика и обеспечивает возможность шифрования данных.

Как злоумышленники используют прокси-серверы

Прокси-серверы часто появляются в открытых каталогах вместе с вредоносными программами, что может дать защитникам представление об инфраструктуре злоумышленников. Например, инструмент для идентификации этих прокси-серверов Hunt.io помогает анализировать характеристики протоколов TLS и HTTP, что позволяет выявлять их до начала активного использования.

Инструмент IOX, написанный на Go, уже использовался в реальных атаках. В 2022 году его применяла атакующая группа Emperor Dragonfly, подчеркивая его опасность в руках киберпреступников. Аналогично, группа Slow Tempest использовала IOX на подверженных воздействию хостах Windows.

Ключевые особенности и уязвимости прокси-серверов

Рассмотрим некоторые важные аспекты каждого из инструментов:

IOX

Инструмент IOX позволяет скрывать исходную информацию об источнике и получателе при передачи данных, что эффективно для ретрансляции в сегментированных сетях. Его двоичные файлы легко идентифицировать с помощью запросов на основе имен файлов, что может помочь защитникам.

Rakshasa

Этот инструмент предоставляет возможности проксирования с использованием TLS-шифрования и AES. Группа APT Earth Baku использует Rakshasa для обеспечения доступа к скомпрометированным сетям. Поведение Rakshasa можно отслеживать через анализ TLS и HTTP.

FRP

FRP предоставляет доступ к внутренним службам, за барьерами NAT или брандмауэра, поддерживая различные протоколы. Его использование отмечено иранской APT-группой Phosphorus. Обнаружение FRP может зависеть от анализа его конфигурационных файлов на наличие характерных токенов.

Заключение

Использование прокси-инструментов, таких как IOX, FRP и Rakshasa, играет важную роль в стратегиях злоумышленников, однако о них недостаточно информации в источниках о киберугрозах. Контроль за поведением этих прокси-серверов поможет защитникам выявлять управляемые злоумышленниками инфраструктуры и проактивно предотвращать кибератаки. Прозрачность использования таких инструментов с открытым исходным кодом снижает барьеры для злоумышленников, подчеркивая важность тщательного мониторинга их активности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: