Jump to content
Kaspersky Support Forum

Аномальная сетевая активность (запросы к ok.ru)

shiki007

By shiki007
in Kaspersky Endpoint Security для бизнеса

 Share

Recommended Posts

shiki007

shiki007

Posted
Posted

Добрый день, после внедрения системы веб-контроля мы обнаружили аномальную активность в корпоративной сети: с рабочих станций пользователей поступают массовые запросы ok.ru Запросы происходят даже при отсутствии активного браузера у пользователей. Активность наблюдается круглосуточно и по несколько раз в секунду. Пример подозрительного URL: https://ok.ru/mapi?query{"cmd":"getCounters"}&&_=1743016156256


Тип события: Предупреждение о нежелательном содержимом
Приложение: Google Chrome
Название: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
ID процесса: 2648
Запрашиваемый веб-адрес: https://ok.ru/mapi?query={"cmd"%3A"getCounters"}&&_=1743957862654
Результат: Предупреждение
Правило: Бан сайтов
Маска адреса: https://ok.ru/
 

Насколько опасна данная ситуация с точки зрения информационной безопасности?

Какие оперативные меры можно принять для прекращения этой активности?

 

andrew75

andrew75

Posted
Posted

Добрый день.

Попробуйте на одной из проблемных рабочих станций отключить все расширения в Хроме и понаблюдать, будут ли запросы.

 

  • Like 1
durtuno

durtuno

Posted
Posted
2 часа назад, shiki007 сказал:

Запросы происходят даже при отсутствии активного браузера у пользователей.

Во многих браузерах, по умолчанию, включена "оптимизация" по типу работы в фоновом режиме и быстрого запуска.

Как вариант проверить этот сценарий и убедиться, что активные процессы браузеров на клиентских системах отсутствуют.

shiki007

shiki007

Posted
  • Author
Posted
4 часа назад, andrew75 сказал:

Добрый день.

Попробуйте на одной из проблемных рабочих станций отключить все расширения в Хроме и понаблюдать, будут ли запросы.

 

После отключения всех расширений в Google Chrome подозрительные запросы к ok.ru действительно прекратились на период около 2 часов, однако затем возобновились, несмотря на то что компьютер оставался включенным и не перезагружался.
 

2 часа назад, durtuno сказал:

Во многих браузерах, по умолчанию, включена "оптимизация" по типу работы в фоновом режиме и быстрого запуска.

Как вариант проверить этот сценарий и убедиться, что активные процессы браузеров на клиентских системах отсутствуют.

Были отключены функции Фоновый режим и Быстрый запуск в настройках Chrome, однако, к сожалению, подозрительные запросы продолжают фиксироваться. 

Friend

Friend

Posted
Posted
4 часа назад, shiki007 сказал:

После отключения всех расширений в Google Chrome подозрительные запросы к ok.ru действительно прекратились на период около 2 часов, однако затем возобновились, несмотря на то что компьютер оставался включенным и не перезагружался.

Может стоит попробовать удалить старый профиль пользователя и создать новый

andrew75

andrew75

Posted
Posted

Надо писать в техподдержку с трассировками и пусть смотрят.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...