Перейти к содержанию

Kaspersky Security Center 13, массовое событие "Mac Spoofing Attack: unexpected ARP response


Рекомендуемые сообщения

Здравствуйте.
Сервер под управлением Kaspersky Security Center 13.0.0.11247
Версия Kaspersky Endpoint Security для Windows 11.6.0.394
Агент администрирования 13.0.0.11247

Обнаружил в критических событиях сервера большое количество событий вида:
Обнаружена сетевая атака
Пользователь: %PCNAME%\Администратор (Активный пользователь) (
либо NT AUTHORITY\СИСТЕМА (Системный пользователь))
Компонент: Защита от сетевых угроз
Описание результата: Запрещено
Название: Mac Spoofing Attack: unexpected ARP response
Объект: ARP от неожиданного источника
Тип объекта: Сетевой пакет
Название объекта: ARP от неожиданного источника
Дополнительно:  
Подозрительный: 19.10.2021 18:08:05: %MAC-адрес% -> %один из локальных IP-адресов%
Дата выпуска баз: 19.10.2021 12:14:00

События отображаются на разных узлах сети - и рабочих станциях и серверах. Запросы могут блокироваться как с таких же рабочих станций под управлением антивируса, либо с других устройств - сетевых принтеров, роутеров, МФУ, мобильных устройств. Несоответствия MAC-адресов между теми, что в логах и реальными на устройствах не выявил. Повторяющихся MAC-адресов в списке по команде arp -a не нашел.

Бывают так же события с отклоненными запросами от внешних IP-адресов www.arin.net с "битыми" MAC-адресами. Например:

Подозрительный: 19.10.2021 18:07:41: 2-50-73-3f-95-6a -> 26.25.162.243 (в первом поле один символ отсутствует). Есть так же адреса 26.194.245.41, 26.206.118.185
 

Событие появилось примерно 20 сентября, где-то в это же время массово появились события "Серверы KSN недоступны".
На всякий случай посмотрел в события в других офисах - там похожая ситуация, много сообщений "Серверы KSN недоступны", есть сообщения про ARP spoofing. Точно так же поддельных MAC`ов не выявил и так же есть ссылки на адреса от www.arin.net. Офисы между собой никак не связаны.

Выполнил обновление в на площадке, где изначально обнаружил проблему до KSC 13.2, начал на хостах обновлять агент до 13.2.0.1511,

 

Далее мне удалось выяснить, что сообщения о MAC Spoofing атаках появляются от беспроводных клиентов- мобильных устройств и ноутбуков, подключенных по WiFi, на которых так же установлен антивирус. Несоответствия в MAC-адресах не нашел. Т.е. те запросы, которые блокирует антивирус происходят от реальных MAC-адресов. Иногда появляются записи с “неполным” MAC, как уже писал выше, когда один из символов в одном из полей отсутствует, но при этом значения в остальных полях сходятся.

Есть так же второй тип сообщений о MAC Spoofing при обращении к внешним IP-адресам, которые оказались адресами сервиса Radmin-VPN, который соответственно стоит на компьютерах, где появляются эти сообщения.

Очевидно, события об атаках появляются, когда пакеты доходят не полностью, что возможно при подключении по беспроводной сети, а так же подключении по RadminVPN.

 

Как дальше быть? Отключать совсем обнаружение MAC-спуфинг не хочется, а если включить только уведомления, то есть риск что не будет заблокирована реальная атака.

И почему это началось 19-20 сентября, а до этой даты этих сообщений не было?

Так же очень настораживает наличие запросов от мобильных устройств к рабочим станциям и серверу управления, но это скорее к вопросу организации гостевого WiFi, который давно уже стоит на повестке.

Изменено пользователем C-S
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Екатерина Васильева
      От Екатерина Васильева
      Не отрабатывает задача "Синхронизация обновлений Windows Update" на KSC Версия: 13.2.0.1511, установлен на виртуальный Windows Server 2012 R2 Standart.
      Error 1182: 'HTTP error occurred'. Status 403. URL = 'http://download.windowsupdate.com/windowsupdate/redist/standalone/7.4.7600.226/WindowsUpdateAgent30-x86.exe'
    • Goddeimos13
      От Goddeimos13
      Приветствую!
      Браузер Mozilla Firefox был установлен в профиль пользователя (например, C:\Users\kirpicheva\AppData\Local\Mozilla Firefox).
      Затем он был удалён локально на машине при помощи команды "C:\Users\kirpicheva\AppData\Local\Mozilla Firefox\uninstall\helper.exe" /S
      Однако в реестре программ компьютера браузер остался висеть.
      Пробовал запускать задачи "Inventory" и "Find vulnerabilities and required updates" (Где добавлен path - C:\Users ).
      Пробовал удалять машину из управляемых и обратно заводить.
      Ничего не помогает.
      Как очистить реестр программ компьютера от программ, которые установлены вне Program Files?
    • Goddeimos13
      От Goddeimos13
      Приветствую, народ!
      Решил значит включить компонент KES "Защита от сетевых угроз" (Network Threat Protection) с лайтовыми настройками (дабы прощупать работу модуля):

      И на одной машине посыпались события "Network attack detected".
      Ругается на видеорегистратор Hikvision в сети.
      Кто-нибудь понимает как этот модуль траблшутить и как интерпретировать событие ниже?
      Кстати, добавление IP адреса видеорегистратора (172.18.85.101) в исключение Network Threat Protection/Exclusions, а также в General settings/Network settings/Trusted addresses никак не помогло. События продолжают генерироваться.
      Собственно само событие:
      Event: Network attack detected
      IP: 172.18.85.20
      Program: Kaspersky Endpoint Security for Windows (11.9.0.351)
      Task: Network Threat Protection
      Component: Network Threat Protection
      Result description: Allowed
      Name: Mac Spoofing Attack: conflicted ARP response
      Object: ARP from several different sources Object type: Network packet Object name: ARP from several different sources
      Suspicious: 28.06.2022 8:40:31: 8c-e7-48-98-82-9b -> 172.18.85.101 Database release date: 27.06.2022 20:54:00
    • Goddeimos13
      От Goddeimos13
      Приветствую!
      Посоветуйте рабочую схему, при которой отключение компьютера в AD автоматически удалит устройство из управляемых в KSC.
      Странно, что в KSC никак не реализован механизм обратной синхронизации с AD. То есть при опросе AD, KSC видит только включенные компьютеры и добавляет их в нераспределенные. Однако если устройство находится в управляемых и отключается в AD, то KSC на это уже никак не реагирует 😢
      Наивно конечно, но может кто-то уже придумал костыль по борьбе с "мёртвыми душами"?
    • Goddeimos13
      От Goddeimos13
      День добрый, комьюнити!
      Наивно конечно, но вдруг кто поможет.
      Как выпилить из установки компонент "Managed Detection and Response"?
      В настройках инсталляционного пакета не нашёл такого компонента.
      Возможно есть другие способы.

×
×
  • Создать...