none
Обращение на map2.hwcdn.net RRS feed

  • Вопрос

  • Ситуация такая - с некоторых рабочих мест идет обращения со стороны ОС (преимущественно Windows 8.1) на внешние адреса 205.185.216.10 и 205.185.216.42.
    Обращение может возникнуть в любое время, чаще всего по наблюдениям происходит при запуске RDP клиента. Идет попытка подгрузить библиотеку disallowedcertstl.cab судя по снифингу как со стороны wireshark на рабочих местах, так и со стороны ASA Firepower. 
    Операционные системы лицензионные.
    Судя по официальной информации на сайте MS, домен HWCDN относится к ресурсам обновления MS:

    https://docs.microsoft.com/en-us/windows/privacy/windows-endpoints-1709-non-enterprise-editions

    домен резолвится по следующим ip адресам:
    ip: 205.185.216.10
    ip: 205.185.216.42
    domain name: map2.hwcdn.net  
    На данных хостах открыты 443 и 80 порты, скорее всего веб сервис, т.к. возвращает JSONответы.
    Репутация данных ip адресов плохая судя по информации в интернете:

    https://www.malwares.com/report/ip?ip=205.185.216.42

    16 октября 2018 г. 9:28

Все ответы