ИБ-компания GreyNoise запустила бесплатный сервис GreyNoise IP Check, который позволяет проверить, не засветился ли конкретный IP-адрес в составе ботнетов и не использовался ли он в качестве резидентного прокси.

Специалисты объясняют, что за последний год проблема разрослась до серьезных масштабов: многие пользователи даже не подозревают, что их устройства скомпрометированы и помогают злоумышленникам вести вредоносную деятельность.

«Резидентные прокси-сети пережили настоящий бум за прошедший год, превращая домашние интернет-подключения в точки выхода для чужого трафика», — говорят в GreyNoise.

По словам специалистов, иногда люди сознательно устанавливают софт, который позволяет использовать их канал в обмен на небольшую плату. Но чаще малварь проникает на устройства незаметно, например, через подозрительные приложения или браузерные расширения.

Исследователи отмечают, что существуют и другие способы выяснить, не стало ли устройство частью ботнета: можно покопаться в логах, проверить конфигурацию, проанализировать сетевой трафик и паттерны активности. Однако простая проверка IP-адреса — куда менее инвазивный метод.

Новый сервис предельно прост в использовании и выдает посетителю один из трех вердиктов: Clean (все чисто), Malicious/Suspicious (IP был замечен в сканированиях, стоит проверить сеть) или Common Business Service (адрес относится к VPN, корпоративной сети или облаку, где такая активность нормальна). Если подозрительная активность обнаружена, платформа отобразит историю за последние 90 дней, по которой можно попытаться понять, когда и как именно устройство было заражено.

Для более продвинутых пользователей GreyNoise предлагает JSON API без требований к авторизации и rate-лимитов. Его можно вызывать через curl и встраивать в скрипты или системы мониторинга.

Если проверка показала статус Malicious/Suspicious, специалисты рекомендуют начать расследование с запуска антивирусных сканеров на всех устройствах в сети. Особое внимание при этом следует уделить роутерам и смарт-ТВ. Также в компании советуют обновить прошивки устройств до актуальных версий, сменить учетные данные администратора и отключить функции удаленного доступа, если они не используются.