我經常檢查我們的防火牆日誌,最近我注意到我們的許多 Windows 10 用戶端都試圖在 IP 10.10.10.1 上開啟檔案共用(或以其他方式連接到 tcp/445)。由於這個 IP 在我們的網路中不存在(我們專門使用 172.16.0.0/12 範圍),這讓我覺得很奇怪。不幸的是,網路在這方面沒有多大幫助,因為該 IP 用於數千個路由器配置指南和範例。
執行此操作的 PC 分佈在所有部門,除了 MSOffice、Skype、Firefox 等常用軟體之外,我無法確定這些電腦上有任何通用軟體。 ..所以它很可能被硬編碼在它來自的任何程式中。
由於 IP 不存在,我看到的只是防火牆上的 SYN,我還不知道這些連線試圖到達什麼。但這意味著要建立一個蜜罐或類似的東西,這需要大量時間,所以我把這個想法推回了「詢問 SE」;-)
我們在 PC 上使用四種不同的防毒解決方案,因此,如果它是惡意的,它就能夠對所有這些解決方案保持隱藏。此外,它必須是一種相當愚蠢的病毒/蠕蟲才能嘗試傳播到 PC 本地網路以外的 IP。
我嘗試在其中一台看到這些連接的機器上運行 ProcExp,但是一天的監控沒有發現任何結果。這讓我有點不安,因為如果某些知名監控軟體一運行就停止連線嘗試,就會指向「惡意」方向。另一方面,它也可能只是純粹的偶然,或者起源於 ProcExp 無法檢查的某個地方(那可能是哪裡?)。我是一個 Unix/網路人員,我對 Win10 內部知識的了解有點有限。
其他人是否看到了這一點,並可能指出罪魁禍首?
答案1
- 您應該在防火牆上過濾這些請求。私有來源或目標 IP 不應洩露,無論您是否使用它們。
- 檢查有問題的 Win PC
netstat -aon- SYN 應該在那裡可見。如果請求很少,您可以使用netstat -aon 5 >netstat.log「監視」連線一段時間。 (當日誌變得太大時,您可能需要過濾輸出,如中所示netstat -aon 5|find "10.10.10.1" >netstat.log。) - 一旦 SYN 出現在
netstat輸出中,您就擁有了進程 IP,並且可以檢查它源自哪個 .exe。
惡意軟體不太可能,它更有可能嘗試使用公共 IP 聯繫(雲端)C&C 伺服器。
此外,當剛剛嘗試連線時,您可以使用「ipconfig /displaydns」來顯示哪個 DNS 快取項目引用 10.10.10.1。
編輯:
同時捕捉PID就比較複雜了。 Sysinternal 的 procmon 可以記錄進程建立(「操作是進程建立/啟動」)和 TCP 連線(「操作是 TCP 連線」) - 這應該提供您所需的一切。