IoNA: Сетевой трафик winlogon

Рассуждая о безопасности мы часто упоминаем  индикаторы компрометации  - все те же сигнатуры, все то же  перечисление зла . Однако, для понимания происходящего, тем более для  хантинга , надо не просто находить по индикаторам, а отличать "нормальное" от "подозрительного"/"не нормального" - для чего надо неплохо разбираться в том, что может быть нормальным. Имея знания о "нормальности" подход будет примитивным и, вместе с тем, вполне себе эффективным: из общего количества активностей убрали все, что "нормальны"/известны, а с оставшимися - явно ненормальными или неизвестными - разбираемся. По результатам разбора можно пополнить свой багаж знаний о "нормальности" поведения - т.е. копить не только IoC-и, но и IoNA - индикаторы нормальной активности :)

Оказывается, процесс winlogon тоже генерит сетевой трафик. Причем эта его активность не вызвана никакими инъекция зловредов в него - это его нормальная активность в случае, если у пользователя смонтированы папки  WebDAV . Более того, если у вас используется WPAD, то winlogon пойдет сначала на сервер wpad, получит настройки прокси, а затем с ними устремится подключать шары. Если  посмотреть dll-ки , подгруженные в winlogon, демонстрирующий такое поведение, то там можно будет обнаружить компоненты  Internet Explorer : 
%SYSTEMROOT%system32urlmon.dll, 
%SYSTEMROOT%system32iertutil.dll, 
%SYSTEMROOT%system32WININET.dll,
 %SYSTEMROOT%system32jsproxy.dll.
Сетевой трафик от winlogon можно наблюдать в момент входа пользователя в Windows (== момент подключения сетевых папок WebDAV).

Таким образом, наш IoNA выглядит так:
1. Сетевой трафик (WPAD - если есть, HTTP - на сервер с папкой WebDAV) от легитимного процесса winlogon.exe.
2. Подгруженные в winlogon библиотеки IE.
3. У пользователя подключена сетевая папка WebDAV.

В заключение хочется отметить, что это нормальное поведение может являться неплохим вектором атаки на winlogon, - уже как на  клиента Интернет ... - время покажет.