Tengo un extraño tráfico que sale de mi red. El servidor de seguridad lo está bloqueando para salir y no estoy seguro de cuál es la fuente. He mirado la máquina y no veo nada flagrante de compromiso.
Lo que he hecho en la máquina: el cuadro es Win7 Enterprise x64. Utilicé Redline para capturar una imagen de memoria y otros datos de un colector. Usé la imagen de memoria y la volatilidad para mirar las conexiones de red, pstree, etc. Utilicé Redline para búsqueda previa, historial de URL y otros metadatos.
No veo ninguna historia en el complemento netscan de volatility con respecto a ninguna de las IP. Supongo que esto se debe a que el firewall bloqueó la conexión completa. Revisé una gran muestra de los IP de destino en algunos sitios de reputación de IP y están limpios.
Actualmente tengo tres cajas con una actividad muy similar pero no idéntica. Una nueva aparece cada semana. Ninguno de ellos ha sucedido dos veces. Ninguna de las cajas tiene software P2P en ellas.
- El tráfico es UDP, principalmente con un puerto de origen de 39156,
- Los puertos de destino son altos y varían.
- El tráfico dura diferentes cantidades de tiempo por caja ... a veces una hora y media, otras veces 20 minutos.
- Los IP de destino están en todo el mundo, cientos de ellos.
- La mayoría de los paquetes contienen 66 o 72 bytes de caracteres aleatorios, a veces dos, tres o cuatro de estos paquetes UDP para cada dirección IP ... luego pasarán a la siguiente dirección IP ...
¿Alguna idea? Gracias!