Windows

Win10 PC 嘗試連接到 10.10.10.1 上的文件共享,原因不明

  • March 2, 2018

我經常查看我們的防火牆日誌,最近我注意到我們的許多 Windows 10 客戶端都試圖在 IP 10.10.10.1 上打開文件共享(或以其他方式連接到 tcp/445)。由於這個 IP 在我們的網路中不存在(我們只使用 172.16.0.0/12 範圍),這讓我覺得很奇怪。不幸的是,網路在這方面並沒有多大幫助,因為該 IP 用於數以千計的路由器配置指南和範例。

執行此操作的 PC 分佈在所有部門,我無法確定這些機器通用的任何軟體,除了 MSOffice、Skype、Firefox 等常用軟體。我查看了配置文件和系統資料庫,該 IP 無處出現..所以它很可能是硬編碼在它來自的任何程序中。

由於 IP 不存在,我所看到的只是防火牆上的 SYN,我還不知道這些連接試圖達到什麼……也許共享名稱可以提供解決方案。但這意味著建立一個honeypot或類似的東西,這需要大量時間,所以我把這個想法推回到“問 SE” ;-)

我們在我們的 PC 上使用了四種不同的 AV 解決方案,所以如果它是惡意的,它本來可以對所有這些都隱藏起來。此外,它必須是一個相當愚蠢的病毒/蠕蟲,才能嘗試傳播到 PC 本地網路之外的 IP。

我嘗試在其中一台機器上執行 ProcExp,我看到這些連接來自其中,但是一天的監控沒有任何結果。這讓我有點不安,因為如果它在一些知名監控軟體執行後立即停止連接嘗試,它將指向“惡意”方向。另一方面,它也可能只是純粹的機會,或者起源於 ProcExp 無法檢查的某個地方(那可能在哪裡?)。我是一個 Unix/Network 人,我對 Win10 內部的知識有點有限。

其他人是否看到了這一點,並且可能會指出罪魁禍首?

  1. 您應該在防火牆上過濾這些請求。無論您是否使用它們,私有源或目標 IP 都不應洩漏。
  2. 檢查有問題的 Win PC netstat -aon- SYN 應該在那裡可見。如果請求很少,您可以使用netstat -aon 5 >netstat.log一段時間來“監控”連接。(當日誌變得太大時,您可能希望過濾輸出,如netstat -aon 5|find "10.10.10.1" >netstat.log.)
  3. 一旦 SYN 出現在netstat輸出中,您就有了程序 IP,並且可以檢查它來自哪個 .exe。

惡意軟體不太可能,它更有可能嘗試使用公共 IP 聯繫(雲)C&C 伺服器。

此外,當連接剛剛嘗試顯示哪個 DNS 記憶體條目引用 10.10.10.1 時,您可以使用“ipconfig /displaydns”。

編輯:

同時擷取 PID 更加複雜。Sysinternal 的 procmon 可以記錄程序創建(“操作是程序創建/啟動”)和 TCP 連接(“操作是 TCP 連接”) - 這應該提供您需要的一切。

引用自:https://serverfault.com/questions/899629