ESET 警告:Skype 试图与未知的远程计算机通信

信息安全 tls 防火墙 Skype
2021-08-13 18:41:58

我经常收到来自我的 ESET 防火墙的警告,如下图所示,Skype 正在尝试通过 SSL 与具有不受信任的证书的远程计算机进行通信:

ESET 警告

远程计算机始终是不同的主机。我不知道或不认识远程计算机,对此我感到非常震惊。有人对此有解释吗?

4个回答

是的,要警惕。看起来注入 Skype 的东西正试图与乌克兰的不受信任的服务器通信。Skype 没有理由正常执行此操作。

对域进行一些调查会返回以下信息:

domain:     pakko.ua
admin-c:    PC226-UANIC
tech-c:     IMENA-UANIC
status:     OK-UNTIL 20131123175521
dom-public: NO
license:    43288
nserver:    ns1.imena.com.ua
nserver:    ns3.imena.com.ua
nserver:    ns2.imena.com.ua
mnt-by:     IMENA-UANIC (ua.imena)
created:    0-UANIC 20041123175521
changed:    IMENA-UANIC 20121011174615
source:     UANIC

nic-handle:     PC226-UANIC
organization:   Pakko Corporation
address:        Klima Savura 21
address:        Lutsk Ukraine
fax-no:         +380332 78 94 39
phone:          +380332 78 94 94

快速搜索“Pakko Corporation”会返回乌克兰的一家有限责任公司

Address:
21а, Savura str., c. Lutsk, Volyn reg., 43005, Ukraine
Telephone:
+38(0332) 78-91-90, 78-94-89
Web-site:
http://www.pakko.ua

他们列出的员工人数在 50 到 100 人之间。更多挖掘可以找到LinkedIn 上的前员工和更多信息。

所以它看起来像是一家合法的公司,但我不喜欢去他们的网站了解他们的工作。我猜他们的网站已经被入侵,现在被用作命令和控制服务器。

我猜你有某种恶意软件将线程注入 Skype,因为它是一个通常允许与网络通信的程序。由于您的机器很可能受到威胁,我的建议是从轨道上对其进行核攻击并重新开始。

这可能只是一个Skype 超级节点 (我不再这么认为),也就是说,我认为有一些危险信号:

  • 该服务器位于乌克兰,属于一家似乎与 Microsoft/Skype 没有业务往来的公司,而且他们似乎无法托管 Skype 超级节点。

  • 服务器在开放端口 21 后面运行ProFTPD 1.2.10。我不明白为什么 Skype 超级节点(应该是安全的等等)正在运行这样的 FTP 服务器,而不是通过 SSH 隧道(SFTP

  • Nmap 扫描显示 SMTP (465)、IMAP (993)、POP3(995)。这对我来说看起来不是很 Skype Supernodish,我宁愿说它被用作垃圾邮件生成服务器。

如果您正在寻找某人来告诉您该做什么并为自己的行为负责,那是不会发生的。数据就在这里,根据我的判断,我支持多项式的观点,这看起来值得担心。

这是有问题的 Nmap 扫描

更新:
我又做了一次更深入的扫描,我敢说 90% 肯定这不是 Skype 超级节点。

  • 在端口 4040 上运行 Microsoft IIS,在端口 4662 上运行 edonkey。
  • 在端口 443 上运行一些 httpd(应该由 Skype 使用)
  • 未使用端口 80(应由 Skype 使用)

第二次更新:

如果这是一个合法的 Skype 超级节点,则适用以下情况之一:

  • 它由 Microsoft 或 Microsoft 合作伙伴/同事运行。然后我认为它不应该运行不安全的服务和像 eDonkey 这样的东西。

  • 选择成为节点的普通用户。然后端口 443 和端口 80 应该被 Skype 打开和使用。

Skype 使用点对点模型通过互联网路由“呼叫”,这意味着部分查找功能正在通过未知的第三方路由。

微软(当他们购买 Skype 时)在今年早些时候改变了模型,使其主要通过半可信节点(即不是某些人的家庭宽带!),他们称之为“超级节点”——显然它们位于“安全数据中心”中,并且,显然遍布全球。

据我了解;该技术用于查找用户 - 调用本身不通过超级节点传递

有很多人不信任 Skype,因为他们没有透露他们的安全系统是如何工作的,尤其是加密。

好吧,在这一切之后,我从不同的 AV 供应商处进行了几次防病毒检查,但没有发现任何可疑之处。我记录了有关此问题的 ESET 和 Skype 支持电话。ESET 的人通过电话告诉我批准是安全的,Skype 电子邮件技术支持写道:

我们可以向您保证,这不是恶意软件造成的。

我无法让任何人准确解释为什么 Skype 通过 SSL 与任意不受信任的主机进行通信,但鉴于我的这种保证,我至少不觉得有必要从轨道上进行核攻击,即使我在收到此消息时一直按“否”出现。

其它你可能感兴趣的问题
上一篇如何处理“已批准”的直接银行 MITM 网站,如 sofort.com? 下一篇无意义的http请求