GreyNoise Labs je lansirao besplatan alat pod nazivom GreyNoise IP Check, koji korisnicima omogućava da provjere da li je njihova IP adresa uočena u malicioznim skeniranjima, poput botneta ili rezidencijalnih proxy mreža.
Kompanija za nadzor prijetnji, koja prati internet-široku aktivnost preko globalne mreže senzora, kaže da je ovaj problem značajno porastao tokom protekle godine, a mnogi korisnici nesvjesno pomažu maliciozne aktivnosti na mreži.
„Tokom protekle godine, rezidencijalne proxy mreže su eksplodirale i pretvaraju kućne internet konekcije u izlazne tačke za saobraćaj drugih ljudi,“ objašnjava GreyNoise.
„Ponekad korisnici svjesno instaliraju softver koji ovo radi u zamjenu za nekoliko dolara. Češće, malver se uvuče na uređaje, obično preko loših aplikacija ili ekstenzija browsera, i tiho ih pretvori u čvorove tuđe infrastrukture.“
Iako postoje načini da se utvrdi da li je neko postao dio maliciozne botnet aktivnosti — poput provjere logova, konfiguracija, mrežnog saobraćaja i obrazaca ponašanja uređaja — alat koji jednostavno provjerava IP adresu predstavlja najmanje intruzivnu metodu.
Korisnici koji posjete stranicu skenera dobiće jedan od tri moguća rezultata:
Clean: Nema detektovane maliciozne skenirajuće aktivnosti.
Malicious/Suspicious: IP je pokazivala skenirajuće ponašanje i korisnici bi trebalo da ispitaju uređaje na mreži.
Common Business Service: IP pripada VPN-u, korporativnoj mreži ili cloud provajderu, pa je skeniranje normalno za te okruženja.
Kada je bilo kakva aktivnost povezana sa unijetom IP adresom, platforma uključuje i istorijski pregled u posljednjih 90 dana, što može pomoći u pronalaženju trenutka potencijalne infekcije.
Na primjer, ako instalacija bandwidth-sharing klijenta ili sumnjive aplikacije prethodi malicioznom skeniranju, može se uspostaviti jasna veza koja omogućava brzu reakciju i sanaciju problema.
Za tehnički naprednije korisnike, GreyNoise nudi i neautentifikovani JSON API bez ograničenja, dostupan preko curl-a, koji se može integrisati u skripte ili sisteme za provjeru.
Ako rezultati skeniranja pokažu status Malicious/Suspicious, preporučuje se da istraga počne pokretanjem malver skeniranja na svim uređajima na istoj mreži, posebno routerima i pametnim TV uređajima.
Korisnicima se savjetuje da ažuriraju uređaje na najnoviji dostupni firmware, promijene administratorske kredencijale i onemoguće funkcije daljinskog pristupa ako nisu potrebne.
Izvor: BleepingComputer
