최근에 notepad.exe를 사용하여 DC에 호스팅된 UNC 경로에서 .txt 및 .rtf 문서를 열 때 회사 네트워크의 여러 컴퓨터에서 예기치 않은 동작이 나타나는 것을 발견하기 시작했습니다.
각각의 경우 문서를 열면 notepad.exe는 tcp/389(LDAP)에서 DC에 대한 TCP 연결을 형성하고 lsass.exe를 하위 프로세스로 생성합니다.
이것이 도메인에서 일반적으로 발생하는 이유가 있습니까? EDR 도구를 사용하여 악성 코드 삽입이나 RPC가 발생하지 않았는지, 악성 네트워크 IOC가 존재하지 않는지, 프로세스'(notepad.exe) '계통'이 정상인지(winlogon.exe -> userinit.exe - > explorer.exe -> notepad.exe).
내가 놓친 것이 명백히 분명한 것이 있습니까? 모든 통찰력에 감사드립니다.