GreyNoise запускает бесплатный сканер, чтобы проверить, не являетесь ли вы частью ботнета
Компания GreyNoise Labs запустила бесплатный инструмент под названием GreyNoise IP Check, который позволяет пользователям проверять, не использовался ли их IP-адрес для вредоносного сканирования, например в ботнетах и резидентных прокси-сетях.
Компания по мониторингу угроз, которая отслеживает активность в интернете с помощью глобальной сети датчиков, сообщает, что за последний год эта проблема значительно усугубилась и многие пользователи неосознанно способствуют вредоносной онлайн-активности.
«За последний год количество резидентных прокси-серверов резко возросло, и они превратили домашние интернет-соединения в точки выхода для трафика других людей», — объясняет GreyNoise.
«Иногда люди сознательно устанавливают программное обеспечение, которое делает это, в обмен на несколько долларов. Чаще всего вредоносное ПО проникает на устройства, как правило, через сомнительные приложения или расширения для браузера, и незаметно превращает их в узлы чужой инфраструктуры».
Хотя существуют способы определить, стал ли кто-то частью вредоносного ботнета, например, с помощью анализа журналов устройств, конфигураций, сетевого трафика и моделей активности, инструмент, который просто проверяет IP-адрес, является наименее инвазивным методом
Посетители веб-страницы сканера получат один из трёх возможных результатов:
- Чисто: вредоносной активности при сканировании не обнаружено.
- Вредоносно/подозрительноs: IP-адрес демонстрирует активность при сканировании. Пользователям следует проверить устройства в своей сети.
- Обычная бизнес-служба: IP-адрес принадлежит VPN, корпоративной сети или облачному провайдеру, и активность при сканировании является нормальной для таких сред.
Чистый результат сканирования
Если какая-либо активность связана с указанным IP-адресом, платформа также предоставит хронологию за последние 90 дней, которая может помочь определить потенциальную точку заражения.
Например, если вредоносному сканированию предшествует установка клиента для совместного использования пропускной способности или сомнительного приложения, можно выявить устойчивые корреляции, которые позволят принять меры по исправлению ситуации.
Исторические данные о деятельности
Источник: GreyNoise
Для более опытных пользователей GreyNoise также предоставляет неаутентифицированный JSON API без ограничений по скорости, доступный через curl, который можно интегрировать в скрипты или системы проверки.
Если результаты сканирования показывают «Вредоносный/подозрительный», рекомендуется начать расследование с проверки на наличие вредоносного ПО всех устройств в той же сети, особенно таких, как маршрутизаторы и смарт-телевизоры.
Пользователям рекомендуется обновить прошивку своих устройств до последней доступной версии, сменить учётные данные администратора и отключить функции удалённого доступа, если они не нужны.
Редактор: AndreyEx
