Analysieren und scannen
Grundsätzlich gibt es diverse Möglichkeiten, um festzustellen, ob jemand Teil eines schädlichen Botnetzes geworden ist, nämlich, indem Geräteprotokolle, Konfigurationen, Netzwerkverkehr und Aktivitätsmuster analysiert werden. Ein Tool, das lediglich die IP-Adresse überprüft, sei aber die schonendste Methode, erklärt GreyNoise.
Interessenten wird beim Besuch der IP-Check-Webseite, eines von drei möglichen Ergebnissen angezeigt:
- Der Rechner ist sauber, es wurden also keine schädlichen Scan-Aktivitäten festgestellt.
- Etwas Schädliches beziehungsweise Verdächtiges wurde gefunden, die IP-Adresse wurde beim Scannen des Internets erfasst oder ist in der GreyNoice-Datenbank verzeichnet. User sollten Geräte in ihrem Netzwerk überprüfen.
- Die IP-Adresse des Users gehört zu einem VPN, einem Unternehmensnetzwerk oder einem Cloud-Anbieter, und die Scan-Aktivität ist für diese Umgebungen normal.
Korrelationen zwischen Installationen und Scans
Wenn eine Aktivität mit der angegebenen IP-Adresse korreliert wird, zeigt die Plattform auch einen 90-tägigen Verlauf an. Das soll helfen, einen potenziellen Infektionsherd zu identifizieren und Abwehrmaßnahmen vornehmen.
