Greynoise IP Check: Neues Tool erkennt Botnetz-Aktivitäten am eigenen Anschluss
In Zeiten zunehmender Botnetz-Aktivitäten stellen sich viele Anwender die Frage, ob sie oder ihre Freunde oder Verwandten möglicherweise selber durch ein mit Malware infiziertes Gerät unbeabsichtigt zu groß angelegten DDoS-Attacken oder anderen bösartigen Cyberaktivitäten beitragen. Die Sicherheitsexperten von Greynoise haben jetzt ein Tool veröffentlicht, mit dem sich das schnell und kostenlos feststellen lässt.
Das besagte Tool trägt den Namen Greynoise IP Check(öffnet im neuen Fenster) . Wer das zugehörige Webportal aufruft, erhält direkt sein Testergebnis. Geprüft wird jeweils, ob die IP-Adresse des Anwenders in jüngster Vergangenheit mit Botnetz-Aktivitäten in Verbindung gebracht wurde – zum Beispiel durch infiltrierte Router oder IoT-Geräte.
Idealerweise gibt die Seite eine grün eingefärbte Meldung mit dem Hinweis "Your IP is clean" aus. Das bedeutet, dass die aktuelle IP-Adresse des Anwenders bisher keiner von Cyberkriminellen genutzten Infrastruktur zugeordnet wurde. Das schließt eine Botnetz-Malware-Infektion im jeweiligen Netzwerk zwar nicht gänzlich aus, verringert jedoch die Wahrscheinlichkeit, dass eine solche vorliegt.
Erkannte Botnetz-Aktivitäten werden aufgeschlüsselt
Weniger erfreulich sind hingegen die Testergebnisse "Malicious" und "Suspicious" . In beiden Fällen liegen Auffälligkeiten vor, die Anwender dringend untersuchen sollten. "Es könnte sich um Malware auf einem Laptop, einen kompromittierten Smart-TV oder einen in ein Botnetz eingebundenen Router handeln" , schreiben die Greynoise-Forscher in einem Blogbeitrag(öffnet im neuen Fenster) , in dem sie ihr neues Tool vorstellen.
Anwender erhalten dann auch nähere Angaben dazu, wann innerhalb der letzten 90 Tage bösartige Aktivitäten über die jeweilige IP-Adresse beobachtet wurden. Auch liefert das Tool Hinweise auf die Art der Aktivitäten, also ob Angreifer über die Adresse etwa nach anderen angreifbaren Systemen gesucht, SSH-Zugänge durchgetestet oder nach exponierten Datenbanken gescannt haben.
Unklar ist, wie das Greynoise-Tool mit dynamischen IP-Adressen umgeht, wie sie an privaten Internetanschlüssen üblich sind. Sicherlich hat der Greynoise IP Check in solchen Fällen zumindest auf lange Sicht weniger Aussagekraft. Erkannte Botnetz-Aktivitäten seit dem letzten Adresswechsel sollten Anwender aber dennoch ernst nehmen und den Test gegebenenfalls an anderen Tagen wiederholen, um das Ergebnis zu validieren.