Рейтинг:0

Как определить приложение, которое генерирует эхо-запросы ICMP в Windows 10?

флаг ar

Служба безопасности моей компании сообщила мне, что моя рабочая станция пингует некоторые IP-адреса из «черного списка». Инструмент корпоративной безопасности, сообщающий эту информацию, находится вместо обычного брандмауэра Windows, но, похоже, он не может определить, какой процесс является виновником.

Я восстановил устройство около шести месяцев назад по той же причине, и я почти уверен, что это просто приложение, использующее сеть доставки контента, которая в какой-то момент также использовалась некоторыми вредоносными программами; отсюда и заблокированные IP-адреса.

Обычно в такой ситуации комбинация Wireshark, netstat, TCPView и других инструментов помогает мне определить, какой процесс генерирует трафик. Однако для эхо-запросов ICMP кажется, что исходный процесс всегда является системной библиотекой DLL.

Какой-то поиск в гугле привел к странице, на которой действительно есть некоторые советы как сузить процесс проверив, какие загружены icmp.dll или iphlpapi.dll.В настоящее время у меня есть десятки процессов с загруженным iphlpapi.dll, поэтому попытка определить, какие из них могут отправлять эти запросы, займет довольно много времени.

Другая проблема заключается в том, что эти ICMP-запросы отправляются очень редко. Может пару раз в день. Так что в тот момент, когда я смотрю, процесс может даже не работать.

Что мне действительно нужно, так это инструмент, который я могу оставить включенным, который будет искать ICMP-запросы к этим IP-адресам, и как только они будут обнаружены, он идентифицирует процесс, который их сделал. Существует ли такая вещь? Есть ли еще один подход с низкими усилиями, который я упускаю?

флаг cn
Какие инструменты есть у группы безопасности на конечной точке?
Gordon Mckeown avatar
флаг ar
Много, много инструментов! Из соображений безопасности я не буду перечислять их все, но я думаю, что тот, который здесь уместен (то есть тот, который отмечает проблему), — это CrowdStrike Falcon.
флаг cn
Для однократного захвата Sysmon Network Connections может показать это вместе с созданием процесса. https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Gordon Mckeown avatar
флаг ar
Я не вижу в SysMon ничего, что могло бы помочь конкретно с ICMP-трафиком, но упомянутое вами создание процесса может помочь соотнести его с журналом Wireshark. Я попробую, спасибо.
флаг cn
Этот тип активности довольно легко коррелировать в Sysmon. Проблема может заключаться в редкости.Если Sysmon не работает, другие варианты, которые я могу придумать, — это принудительный сбой или снимок памяти при возникновении действия или использование более мощного инструмента, такого как отладчик путешествий во времени. https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/time-travel-debugging-overview#ttd-availability

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.