Я регулярно просматриваю наши журналы брандмауэра, и недавно я заметил, что многие наши клиенты Windows 10 пытаются открыть общие файловые ресурсы (или иным образом подключиться к tcp / 445) по IP 10.10.10.1. Поскольку этот IP-адрес не существует в нашей сети (мы используем исключительно диапазон 172.16.0.0/12), это показалось мне странным. К сожалению, Интернет не очень помогает в этом отношении, поскольку этот IP-адрес используется для тысяч руководств и примеров по настройке маршрутизатора.
Компьютеры, выполняющие это, распределены по всем отделам, я не мог определить какое-либо программное обеспечение, общее для этих машин, кроме обычных вещей, таких как MSOffice, Skype, Firefox .. Я просмотрел файлы конфигурации и реестр, этот IP нигде не появляется .. так что это, скорее всего, жестко запрограммировано в какой бы то ни было программе.
Поскольку IP не существует, все, что я вижу, - это SYN на брандмауэре, я еще не знаю, что эти соединения пытаются достичь ... возможно, имя общего ресурса даст решение. Но это означало бы установку приманки или чего-то подобного, что требует значительного времени, поэтому я отодвинул эту идею назад за «спросить SE» ;-)
Мы используем четыре различных антивирусных решения на наших компьютерах, поэтому, если бы это было что-то вредоносное, оно могло бы оставаться скрытым от них всех. Кроме того, это должен быть довольно тупой вирус / червь, чтобы попытаться распространиться на IP-адреса за пределами локальной сети ПК.
Я попытался запустить ProcExp на одной из машин, с которых я вижу эти соединения, но день мониторинга ничего не дал. Это меня немного беспокоит, потому что это укажет на «злонамеренное», если он прекратит попытки подключения, как только будет запущено какое-то известное программное обеспечение для мониторинга. С другой стороны, это может быть просто случайность или возникновение чего-то, что ProcExp не может проверить (где это может быть?). Я парень Unix / Network, мои знания о внутреннем устройстве Win10 немного ограничены.
Кто-то другой видит это и, вероятно, может указать на виновного?
netstat -aon - там должны быть видны SYN. Если запросы редки, вы можете использовать netstat -aon 5 >netstat.log для «мониторинга» соединений в течение определенного периода времени. (Когда журнал становится слишком большим, вы можете отфильтровать вывод, как в netstat -aon 5|find "10.10.10.1" >netstat.log.)netstat output у вас есть IP-адрес процесса и вы можете проверить, из какого .exe он исходит.Вредоносное ПО маловероятно, оно скорее попытается связаться с (облачным) C&C сервером с общедоступным IP.
Кроме того, вы можете использовать `ipconfig / displaydns ', когда соединение только что было предпринято, чтобы показать, какая запись в кэше DNS относится к 10.10.10.1.
РЕДАКТИРОВАТЬ:
В то же время захват PID более сложен. Procmon Sysinternal может регистрировать создание процесса («Операция - это создание / запуск процесса») и TCP-соединения («Операция - это TCP-подключение») - это должно предоставить все, что вам нужно.