Zu Weihnachten die Rechner der Verwandtschaft auf Botnet-Aktivitäten überprüfen – der kostenlose GreyNoise IP Check machts möglich.
Jaiz Anuar – Shutterstock.com
Hacks greifen immer stärker Unternehmen an, weil die Beute in Form von Lösegeld und Daten dort aussichtreicher ist als bei Privatpersonen. Das bedeutet jedoch nicht, dass eine Einzelperson kein lohnendes Opfer ist. Im Gegenteil – Computer von Individuen zu infizieren kann sich für Kriminelle auszahlen, insbesondere wenn sie Botnetze oder Residential-Proxy-Netzwerke einrichten.
Doch wie kann man herausfinden, ob der eigene Rechner infiziert ist, selbst ohne Vorkenntnisse und Fachwissen? Ein kostenloses Tool GreyNoise IP Check von GreyNoise Labs hilft zu überprüfen, ob die eigene IP-Adresse bei schädlichen Scans erfasst wurde.
Diese Vorsichtsmaßnahme begründen die Experten so: „Manchmal installieren Nutzer wissentlich Software, die solche Aktionen ausführt, und verdienen damit ein paar Euro. Häufiger jedoch schleicht sich Malware unbemerkt auf Geräte ein, meist über schädliche Apps oder Browsererweiterungen, und verwandelt diese im Hintergrund in Knotenpunkte in der Infrastruktur anderer.“
Analysieren und scannen
Grundsätzlich gibt es diverse Möglichkeiten, um festzustellen, ob jemand Teil eines schädlichen Botnetzes geworden ist, nämlich, indem Geräteprotokolle, Konfigurationen, Netzwerkverkehr und Aktivitätsmuster analysiert werden. Ein Tool, das lediglich die IP-Adresse überprüft, sei aber die schonendste Methode, erklärt GreyNoise.
Interessenten wird beim Besuch der IP-Check-Webseite, eines von drei möglichen Ergebnissen angezeigt:
Der Rechner ist sauber, es wurden also keine schädlichen Scan-Aktivitäten festgestellt.
Etwas Schädliches beziehungsweise Verdächtiges wurde gefunden, die IP-Adresse wurde beim Scannen des Internets erfasst oder ist in der GreyNoice-Datenbank verzeichnet. User sollten Geräte in ihrem Netzwerk überprüfen.
Die IP-Adresse des Users gehört zu einem VPN, einem Unternehmensnetzwerk oder einem Cloud-Anbieter, und die Scan-Aktivität ist für diese Umgebungen normal.
Korrelationen zwischen Installationen und Scans
Wenn eine Aktivität mit der angegebenen IP-Adresse korreliert wird, zeigt die Plattform auch einen 90-tägigen Verlauf an. Das soll helfen, einen potenziellen Infektionsherd zu identifizieren und Abwehrmaßnahmen vornehmen.
Bei einem positiven Befund wird eine Zeitleiste mit den Aktivitäten der letzten 90 Tage ausgegeben.
GreyNoise
JSON-Option für Fortgeschrittene
Für technisch versierte Nutzer bietet GreyNoise außerdem eine nicht authentifizierte, rate-limit-free JSON-API. Diese ist über curl zugänglich und kann in Skripte oder Prüfsysteme integriert werden.
Dies liefert strukturierte Daten zur fraglichen IP-Adresse, die in MDM-Systeme, VPN-Verbindungsskripte oder Netzwerk-Onboarding-Prozesse integriert werden können. Der Hersteller merkt an, dass Entwickler die Informationen in jeder beliebigen Programmiersprache verwenden können – solange ein curl-ähnlicher User-Agent vorhanden ist.
No Responses