Estou verificando rotineiramente nossos logs de firewall e recentemente percebi que muitos de nossos clientes do Windows 10 estão tentando abrir compartilhamentos de arquivos (ou conectar-se ao tcp/445) no IP 10.10.10.1. Como esse IP não existe em nossa rede (usamos exclusivamente o intervalo 172.16.0.0/12), isso me pareceu estranho. Infelizmente, a web não ajuda muito nesse sentido, já que esse IP é usado para milhares de guias e exemplos de configuração de roteadores.
Os PCs que fazem isso estão espalhados por todos os departamentos, não consegui determinar nenhum software comum a essas máquinas, exceto os habituais como MSOffice, Skype, Firefox.. Examinei os arquivos de configuração e o registro, esse IP não aparece em lugar nenhum .. então provavelmente está codificado em qualquer programa de onde vier.
Como o IP não existe, tudo que vejo são os SYNs no firewall, não sei ainda o que essas conexões estão tentando alcançar.. talvez um nome de compartilhamento desse a solução. Mas isso significaria configurar um honeypot ou similar, o que leva um tempo significativo, então afastei essa ideia de "pergunte ao SE" ;-)
Estamos usando quatro soluções antivírus diferentes em nossos PCs, portanto, se fosse algo malicioso, teria sido capaz de permanecer oculto de todos eles. Além disso, teria que ser um vírus/worm bastante idiota para tentar se espalhar para IPs fora da rede local do PC.
Tentei executar o ProcExp em uma das máquinas de onde vejo essas conexões, mas um dia de monitoramento não revelou nada. Isso me deixa um pouco desconfortável, porque apontaria na direção "malicioso" se interrompesse as tentativas de conexão assim que algum software de monitoramento conhecido estivesse em execução. Por outro lado, também pode ser puro acaso ou ter origem em algum lugar que o ProcExp não pode inspecionar (onde poderia ser?). Sou um cara de Unix/Rede, meu conhecimento interno do Win10 é meio limitado.
Alguém está vendo isso e provavelmente pode apontar o culpado?
Responder1
- Você deve filtrar essas solicitações no seu firewall. IPs privados de origem ou destino não devem vazar, quer você os use ou não.
- Verifique os PCs Win em questão com
netstat -aon- os SYNs devem estar visíveis lá. Se as solicitações forem raras você pode usarnetstat -aon 5 >netstat.logpara 'monitorar' as conexões por um período de tempo. (Quando o log ficar muito grande, você pode querer filtrar a saída como emnetstat -aon 5|find "10.10.10.1" >netstat.log.) - Assim que um SYN aparecer na
netstatsaída, você terá o IP do processo e poderá verificar de qual .exe ele se origina.
O malware é bastante improvável, é mais provável que tente entrar em contato com um servidor C&C (nuvem) com um IP público.
Além disso, você pode usar `ipconfig /displaydns´ quando uma conexão acaba de ser tentada para mostrar qual entrada de cache DNS se refere a 10.10.10.1.
EDITAR:
Capturar o PID ao mesmo tempo é mais complicado. O procmon do Sysinternal pode registrar a criação de processos ("Operação é Criação/Início de Processo") e conexões TCP ("Operação é conexão TCP") - isso deve fornecer tudo que você precisa.