В практике кибербезопасности основное внимание часто приковано к сложным векторам атаки: эксплуатации неизвестных уязвимостей, продвинутым устойчивым угрозам (APT) и изощренному вредоносному ПО. Однако опытный специалист понимает, что самые простые и легитимные инструменты могут быть обращены против защищаемой инфраструктуры. Одним из таких неочевидных, но критически важных индикаторов компрометации являются публичные сервисы определения внешнего IP-адреса.
Эти сервисы, такие как ifconfig.me, ipinfo.io или api.ipify.org, предоставляют простейший API для определения внешнего IP-адреса устройства. В руках злоумышленника они превращаются в мощный инструмент разведки, а их использование в корпоративной сети - в яркий сигнал для системы мониторинга безопасности (SOC).
Тактическое применение сервисов IP-определения злоумышленниками
Интеграция вызовов к этим API в скрипты и вредоносные программы обусловлена практическими задачами на разных этапах атаки. В первую очередь, это валидация успешности компрометации и обход NAT. Современные корпоративные сети используют преобразование сетевых адресов (NAT), когда внутренняя жертва имеет приватный адрес 10.0.0.10, но выходит в интернет через единый внешний IP 195.161.1.1. Получив выполнение кода на рабочей станции, злоумышленник должен понять, с какого адреса его командно-серверная инфраструктура будет видеть исходящие подключения. Запрос к внешнему сервису мгновенно дает ему эту информацию.
| 1 2 3 | # Простейший запрос для определения внешнего IP $externalIP = (Invoke-WebRequest -Uri "https://api.ipify.org" -UseBasicParsing).Content Write-Output "Внешний IP системы: $externalIP" |
Результат выполнения: 195.161.1.1. Теперь атакующий знает, что его бекдор будет "звонить домой" именно с этого адреса, и может настроить файрволлы своих серверов соответствующим образом.
Второй ключевой задачей является определение типа окружения для выявления виртуальных сред и прокси. Атакующие стремятся идентифицировать системы, развернутые в облаках. Многие сервисы возвращают богатый набор метаданных: провайдера, автономную систему (ASN) и географическое положение.
Например, запрос к ipinfo.io/json может вернуть ответ, где поле org будет содержать "AS200350 Yandex Cloud LLC" или "AS208677 Cloud Technologies LLC Trading As cloud.ru". Это сразу указывает на то, что жертва работает в российском облаке, что может изменить дальнейшее поведение вредоноса, например, активировать модуль для кражи метаданных облачной виртуальной машины.
Особую актуальность этот метод приобрел с распространением стилеров - вредоносных программ, предназначенных для кражи данных. Стилеры часто первым делом собирают системную информацию, и внешний IP-адрес является ее ключевым элементом, так как позволяет точно идентифицировать жертву и ее местоположение. Собранные данные, включая IP, упаковываются в архив и отправляются на контролируемый злоумышленником сервер.
Анализ трафика: от индикатора к расследованию
Обнаружение таких запросов в сетевом трафике - это только начало расследования. Аналитик SOC должен уметь интерпретировать контекст. Критически важно оценить источник запроса: исходит ли он от пользовательской рабочей станции, сервера или сетевого оборудования? Запрос с контроллера домена или сервера баз данных — гораздо более тревожный сигнал, чем с рабочей станции рядового сотрудника.
Не менее важна частота и регулярность. Единичный запрос может быть следствием ручного действия пользователя. Однако периодические запросы, особенно по расписанию, с высокой вероятностью указывают на автоматизированный скрипт или вредоносную программу. Но самый главный принцип - анализ связности событий. Сам по себе запрос к ipify.org - слабый индикатор. Но если он зафиксирован через несколько секунд после запуска подозрительного процесса mshta.exe или выполнения PowerShell-скрипта из вложения письма - это становится весомым доказательством компрометации.
Практические рекомендации по детектированию и блокировке
Для эффективного противодействия необходим комплексный подход. На уровне детектирования (SIEM/NDR) требуется создание и поддержание актуального списка DNS-имен и IP-адресов популярных сервисов определения IP. Этот список должен быть загружен в систему как один из списков индикаторов компрометации, а корреляционные правила должны генерировать оповещения при любом успешном HTTP/HTTPS-запросе к этим доменам, особенно с серверной инфраструктуры.
Пример упрощенного правила для поиска в логах:
| 1 2 3 | # Поиск в логах веб-прокси по списку доменов index=proxy_logs (dest_domain="ifconfig.me" OR dest_domain="ipinfo.io" OR dest_domain="api.ipify.org") | stats count by src_ip, dest_domain, user_agent |
Самый эффективный метод - проактивное блокирование на уровне периметра. Необходимо полностью запретить доступ к известным сервисам определения IP на уровне корпоративного веб-прокси или межсетевого экрана нового поколения (NGFW). Дополнительный контроль обеспечивает DNS-фильтрация через корпоративные DNS-серверы, которая предотвратит разрешение имен, сделав HTTP-запросы невозможными.
Если полная блокировка нарушает легитимные бизнес-сценарии, можно предоставить внутренний корпоративный сервис для определения внешнего IP, размещенный в DMZ, и перенаправлять все запросы на него. Это позволит контролировать и логировать такие действия, не давая злоумышленникам использовать публичные анонимные сервисы.
Заключение
В арсенале современного специалиста по кибербезопасности не должно оставаться белых пятен. Сервисы определения внешнего IP, будучи абсолютно легитимными, давно и прочно заняли свою нишу в инструментарии киберпреступников, от APT-групп до распространителей стилеров. Их использование является четким индикатором этапа разведки и валидации атаки. Выявление и блокирование таких запросов - это важный элемент стратегии глубокой эшелонированной обороны, позволяющий обнаружить угрозу на самой ранней стадии и предотвратить более серьезные последствия. Мониторинг подобной активности - это то, что отличает реактивный SOC от проактивного.
