Запущен бесплатный сканер, позволяющий выяснить, не является ли ваш IP частью ботнета

Компания GreyNoise Labs создала онлайн-сканер, проверяющий IP посетителей на предмет вредоносной активности, о которой они могли и не знать.

Сходите провериться

Компания GreyNoise Labs по адресу check.labs.greynoise.io запустила бесплатный сканер, который позволяет определить, не является ли текущий IP-адрес пользователя частью ботнета или используется ли резидентным (домашним) прокси.

GreyNoise специализируется на мониторинге угроз. Её глобальная сеть датчиков обеспечивает широкий охват всевозможной активности, в т.ч. вредоносной.

«За последний год домашние прокси-сети стали стремительно расти, из-за чего домашние интернет-подключения нередко стали превращаться в выходные точки для чужого трафика», - говорится в сопроводительной публикации GreyNoise.

По сути речь идёт о том, что многие пользователи неосознанно способствуют вредоносной активности в Интернете.

В большинстве случаев речь идёт о компонентах, которые распространяются с вредоносными приложениями или с расширениями к браузерам, и без ведома и согласия пользователя превращает их в узлы чужой инфраструктуры.

Сканер GreyNoise - это просто веб-страница, которая идентифицирует ваш IP-адрес и проверяет, не используется ли он для сканирования других узлов, что нередко служит признаком вредоносной активности.

Простые действия в сложной ситуации

Посетителям выводятся три возможных вердикта: либо всё чисто, и никакой вредоносной активности с IP-адресом не связано, либо IP-адрес проявляет признаки вредоносного использования - в первую очередь, сканирования других сетей, либо IP-адрес относится к VPN, корпоративной сети или облачному провайдеру, где сканирующий трафик является нормой.

Если с предоставленным IP-адресом соотносится какая-либо вредоносная активность, платформа выводит её историю за последние 90 дней. Это может помочь определить время и вероятную точку заражения, - например, момент установки сомнительного ПО или странные изменения в настройках сетевого оборудования.

«Довольно простое и в некотором роде изящное решение, требующее от пользователя минимальных усилий, - комментирует Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Точнее сказать, минимальные усилия требуются для проверки. Если же оказывается, что IP-адрес тем или иным образом скомпрометирован, то потребуется предпринять ряд существенных шагов, которые могут потребовать определённого уровня технической грамотности. Просто потому, что проверка, вполне вероятно, потребует перенастроек сетевого оборудования и IoT-устройств, если такие присутствуют в сети, а это далеко не всегда тривиальная процедура».

Для более продвинутых пользователей и администраторов GreyNoise предлагает API (JSON), доступный через curl. Его можно интегрировать в собственные скрипты или системы проверки.

Если сканер обнаружил вредоносную или подозрительную активность, наиболее предпочтительным является сканирование всех устройств, входящих в сеть, причём особое внимание стоит уделить роутерам и смарт-телевизорам, чьи программные компоненты удручающе часто кишат уязвимостями и которые крайне редко обновляются.

Функции удалённого доступа к таким устройствам стоит отключить, если необходимости в нём нет.

Роман Георгиев

