最近、社内ネットワーク内の複数のコンピューターで、DC でホストされている UNC パスから notepad.exe を使用して .txt および .rtf ドキュメントを開くと、予期しない動作が発生することに気付きました。
いずれの場合も、ドキュメントを開くと、notepad.exe は tcp/389 (LDAP) で DC への TCP 接続を形成し、子プロセスとして lsass.exe も生成します。
ドメイン内でこれが通常発生する理由はありますか? EDR ツールを使用して、悪意のあるコード インジェクションや RPC が発生していないこと、悪意のあるネットワーク IOC が存在しないことを確認しました。また、プロセス (notepad.exe) の系統が正常であることを確認しました (winlogon.exe -> userinit.exe -> explorer.exe -> notepad.exe)。
私が見逃している明白な何かがあるでしょうか? どのようなご意見でも歓迎します。