Ho una strana voce di traffico in uscita dalla mia rete. È stato bloccato dal firewall per uscire e non sono sicuro di quale sia la fonte. Ho guardato la macchina e non vedo nulla di sfacciatamente compromesso.
Cosa ho fatto sulla macchina: la scatola è Win7 Enterprise x64. Ho usato Redline per catturare un'immagine di memoria e altri dati da un raccoglitore. Ho usato l'immagine della memoria e la volatilità per esaminare le connessioni di rete, pstree ecc. Ho usato Redline per il prefetch, la cronologia degli URL e altri metadati.
Non vedo alcuna cronologia nel plugin netscan della volatilità per quanto riguarda gli IP. Suppongo che questo sia dovuto al fatto che il firewall ha impedito di effettuare una connessione completa. Ho controllato un ampio campione degli IP di destinazione su alcuni siti di reputazione IP e sono puliti.
Al momento ho tre caselle con un'attività molto simile ma non identica. Ne esce uno nuovo ogni settimana. Nessuno di loro è successo due volte. Nessuna delle caselle contiene software P2P.
- Il traffico è UDP, principalmente con un porto di dati di 39156,
- Le porte di destinazione sono alte e variano.
- Il traffico dura diverse quantità di tempo per scatola ... talvolta un'ora e mezza, altre volte 20 minuti.
- Gli indirizzi IP di destinazione sono in tutto il mondo, centinaia di essi.
- La maggior parte dei pacchetti contiene 66 o 72 byte di caratteri casuali - a volte due, tre o quattro di questi pacchetti UDP per ciascun indirizzo IP ... quindi passerà al successivo indirizzo IP ...
Qualche idea? Grazie!