Перейти к содержанию

Kaspersky Security Center 13, массовое событие "Mac Spoofing Attack: unexpected ARP response


Рекомендуемые сообщения

Здравствуйте.
Сервер под управлением Kaspersky Security Center 13.0.0.11247
Версия Kaspersky Endpoint Security для Windows 11.6.0.394
Агент администрирования 13.0.0.11247

Обнаружил в критических событиях сервера большое количество событий вида:
Обнаружена сетевая атака
Пользователь: %PCNAME%\Администратор (Активный пользователь) (
либо NT AUTHORITY\СИСТЕМА (Системный пользователь))
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Mac Spoofing Attack: unexpected ARP response
Объект: ARP от неожиданного источника
Тип объекта: Сетевой пакет
Название объекта: ARP от неожиданного источника
Дополнительно:  
Подозрительный: 19.10.2021 18:08:05: %MAC-адрес% -> %один из локальных IP-адресов%
Дата выпуска баз: 19.10.2021 12:14:00

События отображаются на разных узлах сети - и рабочих станциях и серверах. Запросы могут блокироваться как с таких же рабочих станций под управлением антивируса, либо с других устройств - сетевых принтеров, роутеров, МФУ, мобильных устройств. Несоответствия MAC-адресов между теми, что в логах и реальными на устройствах не выявил. Повторяющихся MAC-адресов в списке по команде arp -a не нашел.

Бывают так же события с отклоненными запросами от внешних IP-адресов www.arin.net с "битыми" MAC-адресами. Например:

Подозрительный: 19.10.2021 18:07:41: 2-50-73-3f-95-6a -> 26.25.162.243 (в первом поле один символ отсутствует). Есть так же адреса 26.194.245.41, 26.206.118.185
 

Событие появилось примерно 20 сентября, где-то в это же время массово появились события "Серверы KSN недоступны".
На всякий случай посмотрел в события в других офисах - там похожая ситуация, много сообщений "Серверы KSN недоступны", есть сообщения про ARP spoofing. Точно так же поддельных MAC`ов не выявил и так же есть ссылки на адреса от www.arin.net. Офисы между собой никак не связаны.

Выполнил обновление в на площадке, где изначально обнаружил проблему до KSC 13.2, начал на хостах обновлять агент до 13.2.0.1511,

 

Далее мне удалось выяснить, что сообщения о MAC Spoofing атаках появляются от беспроводных клиентов- мобильных устройств и ноутбуков, подключенных по WiFi, на которых так же установлен антивирус. Несоответствия в MAC-адресах не нашел. Т.е. те запросы, которые блокирует антивирус происходят от реальных MAC-адресов. Иногда появляются записи с “неполным” MAC, как уже писал выше, когда один из символов в одном из полей отсутствует, но при этом значения в остальных полях сходятся.

Есть так же второй тип сообщений о MAC Spoofing при обращении к внешним IP-адресам, которые оказались адресами сервиса Radmin-VPN, который соответственно стоит на компьютерах, где появляются эти сообщения.

Очевидно, события об атаках появляются, когда пакеты доходят не полностью, что возможно при подключении по беспроводной сети, а так же подключении по RadminVPN.

 

Как дальше быть? Отключать совсем обнаружение MAC-спуфинг не хочется, а если включить только уведомления, то есть риск что не будет заблокирована реальная атака.

И почему это началось 19-20 сентября, а до этой даты этих сообщений не было?

Так же очень настораживает наличие запросов от мобильных устройств к рабочим станциям и серверу управления, но это скорее к вопросу организации гостевого WiFi, который давно уже стоит на повестке.

Изменено пользователем C-S
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • krv_brs
      От krv_brs
      Ошибка времени выполнения: Database error occurred: #1950 (9420) Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"
      Информация об ошибке: 1950/9420 (Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"), c:\a\c\g_n97mv7nc\r\product\osmp\ksc\dev\server\db\ado\db_adoprepstmtimpl.cpp, 408.
       
      Как бороться с этой ошибкой?
      Базу очищал.
    • A.Glukhov
      От A.Glukhov
      Приветствую, уважаемые коллеги! Сервер, на котором работал Kaspersky Security Center 14 - "упал" и к превеликому сожалению его бэкапы вместе с ним... Пришлось осуществлять чистую установку Kaspersky Security Center с последующей его настройкой. Но вот не задача: на этапе опроса нераспределенных устройств выяснилось, что все ранее установленные на рабочих станциях агенты администрирования - не видны (со статусом агент не установлен)! Подключившись к удаленной машине, где установлен агент, в логах наткнулся на ошибку: "Произошла ошибка транспортного уровня при соединении с http://*******:13000: не прошла аутентификация SSL, неверный или просроченный сертификат". Данная ошибка натолкнула на мысль, что все сертификаты, которые до "падения" находились в Kaspersky Security Center и распространялись с инсталляционными пакетами на удаленные машины -  теперь не действительны для нового KSС и наоборот. 
       
      Собственно сам вопрос: существует ли способ подкидывания нового сертификата на рабочие станции, на которых установлены сертификаты со старого Kaspersky Security Center? Или, проще говоря, как сделать, чтобы старые агенты администрирования стали видны в новом Kaspersky Security Center?
    • Lotte
      От Lotte
      Добрый день!
       
      Хотел уточнить, как сделать инвентаризацию оборудования через KES, у нас KES Версии: 14.2.0.26967
       
      почитал здесь, что https://support.kaspersky.com/KSC/14/ru-RU/63679.htm в списке оборудования (Хранилища → Оборудование) нужно выбрать.
       
      У нас нет, пока такой вкладки оборудование, как её сделать?
      Добавил диопазон ip адресов с рабочими станциями отсканировал, обнаружил пк но они не отображаются на вкладке хранилища - оборудование.
       

       
       
    • Ammorf
      От Ammorf
      OS - Windows Server 2012, установлены .NET Framework 3.5 и 4.8
      KSC - 14.2.0.26967

      При попытке выгрузки отчета в формате pdf возникает ошибка "Не удалось создать отчет. Unspecified error".
      Ошибка возникает только при попытке выгрузки на самом сервере, если делать через консоль на обычной win 10 машине - все ок.
      Однако из-за того, что он не может делать это на сервере - он так же не может их отправлять по почте или класть в папку в соответствии с расписанием. 
      В логах "Kaspersky Event log", "Kaspersky Security" и системных логах не создается ничего при воспроизведении такой ошибки.
      Правка реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage) со сменой локализации не помогает, к тому же изначально была установлена правильная  1251.
      .NET Framework 3.5 и 4.8 - установлен

    • Олег Андрианов
      От Олег Андрианов
      Возможно ли подключение к  Kaspersky Security Center Linux 15 из консоли администрирования под Windows?
      Есть информация, что это волне возможно, но служба поддержки упроно это отрицает. Может кому то это удалось сделать?
×
×
  • Создать...