kopytov-an 0 Опубликовано 20 декабря, 2021 Share Опубликовано 20 декабря, 2021 Здравствуйте! Имеем доменную сеть из 350 рабочих станций, с установленным антивирусом Kaspersky Endpoin Security 11.7.0.669, ограниченным доступом в интернет, и пограничный брэндмауер paloalto. в течении прошедших полутора недель paloalto детектирует подозрительную активность рабочих станций обозначая ее как DGA (механизм называется DNS Security). DNS запросы на рандомные доменные имена. В домене запуск исполняемых файлов, скриптов и т.д. разрешен только с определенной папки. Антивирусы на рабочих станциях с которых идут такие запросы ничего подозрительного не находят (пробовали разные, в том числе загрузочные диски и утилиты для поисков малварей). На сегодня просто изолируем такие компьютеры и переустанавливаем ОС. Наиболее частые DNS запросы: pubt.in m2pub.com CollectionLog-2021.12.20-15.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1090 Опубликовано 20 декабря, 2021 Share Опубликовано 20 декабря, 2021 Здравствуйте! В логах не замечено ничего подозрительного/вредоносного. 5 минут назад, kopytov-an сказал: paloalto детектирует подозрительную активность рабочих станций Если есть с ними обратная связь, хорошо бы у них и уточнить. ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает: Цитата [ScrewDrivers RDP Plugin] = C:\Program Files (x86)\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe Цитата Ссылка на сообщение Поделиться на другие сайты
kopytov-an 0 Опубликовано 20 декабря, 2021 Автор Share Опубликовано 20 декабря, 2021 !ScrewDrivers Client v4 x64 - ставили самостоятельно? Смущает:! Да, данное программное обеспечение ставили самостоятельно. Пользуемся этой программой уже более 5 лет и ранее такого не было. Install_rdp.exe это тоже нормальный файл. !Если есть с ними обратная связь, хорошо бы у них и уточнить.! Буквально час назад после очередного разбора лога paloalto обратил внимание на то что вполне легитимные сайты они распознают как вредоносные. Указал им на это. Более никакой помощи собственно, только блокировка стандартным инструментом. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1090 Опубликовано 20 декабря, 2021 Share Опубликовано 20 декабря, 2021 4 минуты назад, kopytov-an сказал: Указал им на это Если будет ответ, сообщите здесь, пожалуйста. Цитата Ссылка на сообщение Поделиться на другие сайты
kopytov-an 0 Опубликовано 22 декабря, 2021 Автор Share Опубликовано 22 декабря, 2021 Похоже что ряд сайтов из тех что писал выше все же имеют какую то вирусную активность, поэтому и попадают под блокировку, а компьютеры при этом становятся вирус-активными. Но основная масса запросов все же идет на не понятные доменные имена: bt3f4hjsf6.ru 5h3oyhv838.com Это запросы в один из дней. Очень редкие запросы, на очень не связных по функционалу рабочих станциях. Каждый день появляются новые случаи по 1-3 машины, не понимаем как можно отловить. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1090 Опубликовано 22 декабря, 2021 Share Опубликовано 22 декабря, 2021 Создайте ещё тему в соседнем разделе. Ссылку на эту тему там укажите. Цитата Ссылка на сообщение Поделиться на другие сайты
kopytov-an 0 Опубликовано 29 декабря, 2021 Автор Share Опубликовано 29 декабря, 2021 Обновленная информация. Запросы на странные доменные имена происходят в момент запуска браузера который работает на базе Chromium. Будь то SrwIron, Edge, Chrome. Если включена работа в фоновом режиме, то при переходе в фоновый режим тоже происходит запрос, всегда на 3 имени. Если запускать Internet Explorer, ничего подобного не происходит. Новых процессов при запуск Edge заметить не удается. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.