定期的にファイアウォールのログを確認していますが、最近、多くの Windows 10 クライアントが IP 10.10.10.1 でファイル共有を開こうとしている (または tcp/445 に接続しようとしている) ことに気付きました。この IP は当社のネットワークには存在しないため (172.16.0.0/12 の範囲のみを使用しています)、これは奇妙に思えました。残念ながら、この IP は何千ものルーター構成ガイドや例に使用されているため、この点については Web はあまり役に立ちません。
このようなことを行っている PC はすべての部門に分散しており、MSOffice、Skype、Firefox などの通常のものを除いて、これらのマシンに共通するソフトウェアを特定できませんでした。構成ファイルとレジストリを調べましたが、その IP はどこにも見つかりません。そのため、これがどのプログラムからのものであっても、ハードコードされている可能性が高いです。
IP が存在しないため、ファイアウォール上の SYN しか表示されません。これらの接続が何にアクセスしようとしているのかはまだわかりません。共有名で解決できるかもしれません。しかし、これはハニーポットなどの設定を意味し、かなりの時間がかかるため、このアイデアは「SE に質問」の後ろに押しやりました ;-)
私たちは PC で 4 つの異なる AV ソリューションを使用しているため、もしそれが悪意のあるものであったとしても、それらすべてから隠れたままでいられたはずです。また、PC のローカル ネットワーク外の IP に拡散しようとするのは、かなり愚かなウイルス/ワームでなければなりません。
これらの接続が行われているマシンの 1 つで ProcExp を実行してみましたが、1 日監視しても何も見つかりませんでした。これは少し不安です。よく知られている監視ソフトウェアが実行されるやいなや接続試行が停止するのであれば、「悪意のある」方向を指し示すことになるからです。一方、これは単なる偶然か、ProcExp が検査できないどこか (どこにあるのでしょうか?) から発生している可能性もあります。私は Unix/ネットワークの人間ですが、Win10 の内部に関する知識は限られています。
他にもこれを見た人はいて、犯人を指摘できるでしょうか?
答え1
- これらのリクエストはファイアウォールでフィルタリングする必要があります。プライベートの送信元または送信先の IP は、使用するかどうかに関係なく、漏洩してはなりません。
- 問題の Win PC を で確認します
netstat -aon- SYN がそこに表示されるはずです。リクエストがまれな場合は、 を使用してnetstat -aon 5 >netstat.log一定期間接続を「監視」できます。(ログが大きくなりすぎる場合は、 のように出力をフィルター処理することをお勧めしますnetstat -aon 5|find "10.10.10.1" >netstat.log。) - SYN が
netstat出力に表示されたら、プロセス IP を取得し、これがどの .exe から発生したかを確認できます。
マルウェアの可能性は低いですが、パブリック IP を使用して (クラウド) C&C サーバーに接続しようとする可能性の方が高いでしょう。
さらに、接続を試行した直後に「ipconfig /displaydns」を使用して、どの DNS キャッシュ エントリが 10.10.10.1 を参照しているかを表示できます。
編集:
PID を同時にキャプチャするのはより複雑です。Sysinternal の procmon は、プロセスの作成 (「操作はプロセスの作成/開始」) と TCP 接続 (「操作は TCP 接続」) をログに記録できます。これにより、必要なものがすべて提供されるはずです。