Я регулярно просматриваю журналы нашего брандмауэра, и недавно я заметил, что многие наши клиенты Windows 10 пытаются открыть общие файлы (или иным образом подключиться к tcp/445) на IP 10.10.10.1. Поскольку этот IP не существует в нашей сети (мы используем исключительно диапазон 172.16.0.0/12), это показалось мне странным. К сожалению, веб не может помочь в этом отношении, поскольку этот IP используется для тысяч руководств и примеров по настройке маршрутизатора.
ПК, на которых это делается, разбросаны по всем отделам, я не смог определить какое-либо программное обеспечение, общее для этих машин, за исключением обычных вещей вроде MSOffice, Skype, Firefox. Я просмотрел файлы конфигурации и реестр, этот IP нигде не обнаружен. Так что, скорее всего, он жестко запрограммирован в той программе, из которой он исходит.
Поскольку IP не существует, все, что я вижу, это SYN на брандмауэре, я пока не знаю, к чему эти соединения пытаются обратиться... возможно, имя общего ресурса даст решение. Но это означало бы настройку honeypot или чего-то подобного, что занимает значительное время, поэтому я отодвинул эту идею назад, за "спросить SE" ;-)
Мы используем четыре различных антивирусных решения на наших ПК, так что если бы это было что-то вредоносное, оно бы смогло остаться скрытым от всех них. Кроме того, это должен был бы быть довольно глупый вирус/червь, чтобы попытаться распространиться на IP-адреса за пределами локальной сети ПК.
Я попробовал запустить ProcExp на одной из машин, с которых я вижу эти соединения, но день мониторинга ничего не дал. Это меня немного беспокоит, потому что это укажет на "вредоносное" направление, если оно прекратит попытки соединения, как только запустится какое-то известное программное обеспечение для мониторинга. С другой стороны, это может быть просто чистой случайностью или откуда-то, что ProcExp не может проверить (где это может быть?). Я парень Unix/Network, мои знания о внутренностях Win10 довольно ограничены.
Видит ли это кто-то еще и может ли указать на виновника?
решение1
- Вам следует отфильтровать эти запросы на вашем брандмауэре. Частные IP-адреса источника или назначения не должны просачиваться, используете вы их или нет.
- Проверьте интересующие вас ПК Win с помощью
netstat -aonSYN-файлов. Если запросы редки, вы можете использоватьnetstat -aon 5 >netstat.logдля «мониторинга» соединений в течение определенного периода времени. (Когда журнал становится слишком большим, вы можете захотеть отфильтровать вывод, как вnetstat -aon 5|find "10.10.10.1" >netstat.log.) - Как только в выходных данных появляется SYN,
netstatу вас есть IP-адрес процесса, и вы можете проверить, какой .exe-файл его создал.
Вредоносное ПО маловероятно, скорее всего, оно попытается связаться с (облачным) сервером управления и контроля с публичным IP-адресом.
Кроме того, вы можете использовать `ipconfig /displaydns´, когда только что была предпринята попытка подключения, чтобы увидеть, какая запись кэша DNS относится к 10.10.10.1.
РЕДАКТИРОВАТЬ:
Захват PID в то же время более сложен. Procmon от Sysinternal может регистрировать создание процесса («Операция — Process Create/Start») и TCP-подключения («Операция — TCP connect») — это должно предоставить все, что вам нужно.