Source: BleepingComputer — GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels.

GreyNoise explique que les réseaux de proxies résidentiels ont fortement augmenté l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrés par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nœuds d’infrastructure.

L’outil affiche trois résultats possibles: 1) Clean (aucune activité malveillante détectée), 2) Malicious/Suspicious (comportement de scan observé, nécessitant une investigation des appareils du réseau), 3) Common Business Service (IP d’un VPN, réseau d’entreprise ou cloud, où le scan est attendu/normal). En cas d’activité, une frise chronologique sur 90 jours est fournie pour aider à identifier un point potentiel d’infection ou une corrélation temporelle (ex. installation d’un client de partage de bande passante avant l’apparition des scans).

Pour les utilisateurs techniques, GreyNoise propose aussi une API JSON non authentifiée et sans limite de débit accessible via curl, afin d’intégrer la vérification dans des scripts ou systèmes de contrôle. 🧰

En cas de résultat « Malicious/Suspicious », l’article recommande de lancer des analyses antimalware sur tous les appareils du réseau (en ciblant particulièrement routeurs et smart TV), de mettre à jour les firmwares, de changer les identifiants administrateurs et de désactiver l’accès à distance non nécessaire. Ce contenu est un article de presse spécialisé annonçant un nouvel outil visant à faciliter la détection d’adresses IP impliquées dans des scans malveillants.

IOC(s):

  • Aucun IOC spécifique fourni.

TTP(s) observées/décrites:

  • Scanning malveillant à l’échelle d’Internet.
  • Réseaux de proxies résidentiels utilisant des connexions domestiques comme points de sortie.
  • Infection via apps/extensions de navigateur malveillantes transformant les appareils en nœuds.
  • Installation de clients de partage de bande passante corrélée à l’apparition d’activité de scan.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/greynoise-launches-free-scanner-to-check-if-youre-part-of-a-botnet/