나는 정기적으로 방화벽 로그를 검토하고 있으며 최근에 많은 Windows 10 클라이언트가 IP 10.10.10.1에서 파일 공유를 열려고 하거나 tcp/445에 연결하려고 시도하고 있음을 발견했습니다. 이 IP는 우리 네트워크에 존재하지 않기 때문에(우리는 172.16.0.0/12 범위만 사용함) 이것이 이상하다는 생각이 들었습니다. 불행히도 웹은 수천 개의 라우터 구성 가이드와 예제에 해당 IP가 사용되기 때문에 이와 관련하여 별로 도움이 되지 않습니다.
이 작업을 수행하는 PC는 모든 부서에 분산되어 있으며 MSOffice, Skype, Firefox와 같은 일반적인 항목을 제외하고 이러한 컴퓨터에 공통된 소프트웨어를 확인할 수 없습니다. 구성 파일과 레지스트리를 살펴봤지만 해당 IP는 어디에도 없습니다. .. 따라서 어떤 프로그램에서든 하드코딩되어 있을 가능성이 높습니다.
IP가 존재하지 않기 때문에 내가 보는 것은 방화벽의 SYN뿐입니다. 이러한 연결이 무엇에 도달하려고 하는지 아직 알 수 없습니다. 아마도 공유 이름이 해결책을 제공할 것입니다. 하지만 이는 허니팟이나 이와 유사한 것을 설정하는 것을 의미하며 상당한 시간이 소요되므로 해당 아이디어를 "SE에게 물어보세요"로 미루었습니다 ;-)
우리 PC에서는 4가지 AV 솔루션을 사용하고 있기 때문에 악의적인 것이라면 모두로부터 숨겨질 수 있었을 것입니다. 또한 PC 로컬 네트워크 외부의 IP로 확산을 시도하려면 다소 멍청한 바이러스/웜이어야 합니다.
이러한 연결이 나오는 컴퓨터 중 하나에서 ProcExp를 실행해 보았지만 하루 동안 모니터링해도 아무런 결과가 나오지 않았습니다. 일부 잘 알려진 모니터링 소프트웨어가 실행되자마자 연결 시도를 중단하면 "악의적인" 방향을 가리킬 수 있기 때문에 이는 나를 다소 불안하게 만듭니다. 반면에 이는 순수한 우연일 수도 있고 ProcExp가 검사할 수 없는 곳에서 발생한 것일 수도 있습니다(그게 어디일까요?). 저는 Unix/Network 사용자입니다. Win10 내부에 대한 지식은 다소 제한되어 있습니다.
다른 사람이 이것을 보고 범인을 지적할 수 있습니까?
답변1
- 방화벽에서 이러한 요청을 필터링해야 합니다. 개인 소스 또는 대상 IP는 사용 여부에 관계없이 유출되어서는 안 됩니다.
- 문제가 있는 Win PC를 확인하십시오
netstat -aon. 거기에 SYN이 표시되어야 합니다. 요청이 드물다면netstat -aon 5 >netstat.log일정 기간 동안 연결을 '모니터링'하는 데 사용할 수 있습니다. (로그가 너무 커지면 에서와 같이 출력을 필터링할 수 있습니다netstat -aon 5|find "10.10.10.1" >netstat.log.) - SYN이 출력에 나타나면
netstat프로세스 IP를 갖게 되며 이 IP가 어떤 .exe에서 시작되었는지 확인할 수 있습니다.
악성 코드는 가능성이 거의 없으며 공용 IP를 사용하여 (클라우드) C&C 서버에 접속을 시도할 가능성이 더 높습니다.
또한 방금 연결을 시도한 경우 'ipconfig /displaydns'를 사용하여 어떤 DNS 캐시 항목이 10.10.10.1을 참조하는지 확인할 수 있습니다.
편집하다:
PID를 동시에 캡처하는 것은 더 복잡합니다. Sysinternal의 procmon은 프로세스 생성("작업은 프로세스 생성/시작") 및 TCP 연결("작업은 TCP 연결")을 기록할 수 있습니다. 이는 필요한 모든 것을 제공해야 합니다.