Reviso rutinariamente los registros de nuestro firewall y recientemente noté que muchos de nuestros clientes de Windows 10 están intentando abrir archivos compartidos (o conectarse a tcp/445) en la IP 10.10.10.1. Dado que esta IP no existe en nuestra red (utilizamos exclusivamente el rango 172.16.0.0/12), esto me pareció extraño. Desafortunadamente, la web no es de mucha ayuda en este sentido, ya que esa IP se utiliza para miles de guías y ejemplos de configuración de enrutadores.
Las PC que hacen esto están distribuidas en todos los departamentos, no pude determinar ningún software común a estas máquinas, excepto las cosas habituales como MSOffice, Skype, Firefox... Revisé los archivos de configuración y el registro, esa IP no aparece en ninguna parte. .. por lo que lo más probable es que esté codificado en cualquier programa del que provenga.
Como la IP no existe, todo lo que veo son los SYN en el firewall, todavía no sé a qué intentan llegar estas conexiones... tal vez un nombre compartido daría la solución. Pero esto significaría configurar un honeypot o similar, lo que lleva mucho tiempo, por lo que dejé esa idea detrás de "preguntar a SE" ;-)
Usamos cuatro soluciones antivirus diferentes en nuestras PC, por lo que si fuera algo malicioso, habría podido permanecer oculto para todas ellas. Además, tendría que ser un virus/gusano bastante tonto para intentar propagarse a direcciones IP fuera de la red local de la PC.
Intenté ejecutar ProcExp en una de las máquinas de las que veo que provienen estas conexiones, pero un día de monitoreo no mostró nada. Esto me inquieta un poco, porque apuntaría en la dirección "maliciosa" si cesa los intentos de conexión tan pronto como se ejecuta algún software de monitoreo conocido. Por otro lado, también podría ser pura casualidad o tener su origen en algún lugar que ProcExp no puede inspeccionar (¿dónde podría ser?). Soy un tipo de Unix/Red, mi conocimiento de los aspectos internos de Win10 es un poco limitado.
¿Alguien más está viendo esto y probablemente pueda señalar al culpable?
Respuesta1
- Debe filtrar estas solicitudes en su firewall. Las IP privadas de origen o destino no deberían filtrarse, ya sea que las use o no.
- Verifique las PC con Win en cuestión
netstat -aon: los SYN deberían estar visibles allí. Si las solicitudes son raras, puede utilizarlasnetstat -aon 5 >netstat.logpara "monitorear" las conexiones durante un período de tiempo. (Cuando el registro crece demasiado, es posible que desee filtrar la salida como ennetstat -aon 5|find "10.10.10.1" >netstat.log.) - Una vez que aparece un SYN en
netstatla salida, tiene la IP del proceso y puede verificar de qué .exe se origina.
El malware es bastante improbable; lo más probable es que intente ponerse en contacto con un servidor C&C (en la nube) con una IP pública.
Además, puede usar `ipconfig /displaydns´ cuando se acaba de intentar una conexión para mostrar qué entrada de caché DNS hace referencia a 10.10.10.1.
EDITAR:
Capturar el PID al mismo tiempo es más complicado. El procmon de Sysinternal puede registrar la creación de procesos ("La operación es Crear/Iniciar proceso") y las conexiones TCP ("La operación es conexión TCP"); esto debería proporcionarle todo lo que necesita.