GreyNoise Labs представи GreyNoise IP Check – безплатен инструмент, който позволява на потребителите да проверят дали техният публичен IP адрес е бил наблюдаван в злонамерени сканирания, извършвани от ботнети, компрометирани устройства или residential proxy услуги.
По данни на компанията, през последната година този проблем се е задълбочил значително. Причината е масовото нарастване на residential proxy мрежите, при които домашни интернет връзки се превръщат в „изходни точки“ за чужд трафик.
GreyNoise обяснява, че:
-
част от потребителите съзнателно инсталират софтуер, който отдава интернет връзката им срещу малко заплащане;
-
много по-често обаче зловреден софтуер попада на устройствата чрез неподходящи приложения или браузър разширения и тихомълком ги превръща в част от нечия инфраструктура.
Най-лесният начин да разберете дали сте част от ботнет
Съществуват различни методи за диагностика – преглед на логове, конфигурации, мрежов трафик и поведенчески модели. Но GreyNoise IP Check предлага най-малко инвазивния подход: проверка на публичния IP адрес.
Инструментът връща един от три резултата:
Clean
Няма установена злонамерена сканираща активност.
Malicious/Suspicious
IP адресът е извършвал сканиране в интернет. Препоръчва се проверка на устройствата в мрежата.
Common Business Service
IP адресът принадлежи на VPN, корпоративна мрежа или cloud инфраструктура, където подобни сканирания са нормални.
Освен това инструментът предоставя 90-дневна историческа активност, която позволява да се проследи потенциалният момент на инфектиране.
Например, ако преди 30 дни е инсталирано съмнително приложение или „bandwidth-sharing“ клиент и след това започва сканираща активност, корелацията е силна и насочва към конкретната причина.
Инструменти за напреднали: JSON API без ограничения
За техническите потребители GreyNoise предоставя неограничен JSON API, достъпен през curl без автентикация. Това позволява използването му в автоматизирани скриптове, системи за мониторинг или SIEM интеграции.
Какво да правите, ако вашият IP излезе като „Malicious/Suspicious“
GreyNoise препоръчва да се започне от основите:
1. Сканиране за зловреден софтуер
-
на всички компютри
-
на рутери
-
на смарт телевизори и IoT устройства
2. Обновяване на фърмуер и операционни системи
Остарели устройства често съдържат уязвимости, използвани от ботнети.
3. Смяна на администраторски пароли
Особено за рутери, които често използват фабрични креденшъли.
4. Изключване на remote access функции
Ако не са реално необходими, те представляват значителен риск.
GreyNoise IP Check предоставя лесен и достъпен начин за откриване на участие в злонамерени сканирания – проблем, който засяга все повече потребители поради растежа на proxy мрежите и ботнет екосистемите. Като комбинира прост интерфейс, исторически данни и API за напреднали потребители, инструментът помага както на обикновени потребители, така и на ИТ специалисти да идентифицират ранни признаци на компрометиране и да защитят мрежата си.
