Ich gehe regelmäßig unsere Firewall-Protokolle durch und habe kürzlich festgestellt, dass viele unserer Windows 10-Clients versuchen, Dateifreigaben auf der IP 10.10.10.1 zu öffnen (oder sich anderweitig mit TCP/445 zu verbinden). Da diese IP in unserem Netzwerk nicht existiert (wir verwenden ausschließlich den Bereich 172.16.0.0/12), kam mir das seltsam vor. Leider ist das Internet in dieser Hinsicht keine große Hilfe, da diese IP für Tausende von Anleitungen und Beispielen zur Routerkonfiguration verwendet wird.
Die PCs, auf denen dies geschieht, sind in allen Abteilungen verteilt. Ich konnte keine auf diesen Rechnern übliche Software feststellen, außer den üblichen Sachen wie MSOffice, Skype, Firefox. Ich habe die Konfigurationsdateien und die Registrierung durchgesehen, die IP taucht nirgends auf. Sie ist also höchstwahrscheinlich in dem Programm, aus dem sie stammt, fest codiert.
Da die IP nicht existiert, sehe ich nur die SYNs auf der Firewall. Ich weiß noch nicht, was diese Verbindungen erreichen wollen. Vielleicht wäre ein Freigabename die Lösung. Dies würde jedoch bedeuten, einen Honeypot oder ähnliches einzurichten, was viel Zeit in Anspruch nimmt, und daher habe ich diese Idee hinter „ask SE“ zurückgestellt ;-)
Wir verwenden vier verschiedene Antivirus-Lösungen auf unseren PCs. Wenn es also etwas Bösartiges gewesen wäre, hätte es sich vor allen versteckt. Außerdem müsste es schon ein ziemlich dummer Virus/Wurm sein, der versucht, sich auf IPs außerhalb des lokalen Netzwerks des PCs auszubreiten.
Ich habe versucht, ProcExp auf einem der Rechner laufen zu lassen, von denen diese Verbindungen kommen, aber ein Tag Überwachung hat nichts ergeben. Das beunruhigt mich ein wenig, denn es würde in die „bösartige“ Richtung weisen, wenn die Verbindungsversuche beendet werden, sobald eine bekannte Überwachungssoftware läuft. Andererseits könnte es auch reiner Zufall sein oder von einem Ort stammen, den ProcExp nicht untersuchen kann (wo könnte das sein?). Ich bin ein Unix-/Netzwerk-Typ, mein Wissen über die internen Vorgänge von Win10 ist ziemlich begrenzt.
Sieht das noch jemand und kann möglicherweise den Schuldigen benennen?
Antwort1
- Sie sollten diese Anfragen in Ihrer Firewall filtern. Private Quell- oder Ziel-IPs sollten nicht durchsickern, unabhängig davon, ob Sie sie verwenden oder nicht.
- Überprüfen Sie die betreffenden Windows-PCs mit
netstat -aon- die SYNs sollten dort sichtbar sein. Wenn die Anfragen selten sind, können Sienetstat -aon 5 >netstat.logdie Verbindungen eine Zeit lang mit „überwachen“. (Wenn das Protokoll zu groß wird, möchten Sie die Ausgabe möglicherweise wie in filternnetstat -aon 5|find "10.10.10.1" >netstat.log.) - Sobald in der Ausgabe eine SYN angezeigt wird,
netstatverfügen Sie über die Prozess-IP und können prüfen, von welcher EXE-Datei diese stammt.
Schadsoftware ist eher unwahrscheinlich, sie würde eher versuchen, Kontakt zu einem (Cloud-)C&C-Server mit einer öffentlichen IP aufzunehmen.
Zusätzlich kann man sich nach einem aktuellen Verbindungsversuch mit `ipconfig /displaydns´ anzeigen lassen, welcher DNS-Cache-Eintrag auf 10.10.10.1 verweist.
BEARBEITEN:
Das gleichzeitige Erfassen der PID ist komplizierter. Sysinternals Procmon kann die Prozesserstellung („Operation is Process Create/Start“) und TCP-Verbindungen („Operation is TCP connect“) protokollieren – dies sollte alles bieten, was Sie brauchen.