좋은 아침이에요,
FirePower로부터 Exchange 서버에 대한 MALWARE-CNC Win.Trojan.Gh0st 변종 아웃바운드 연결이 있다는 알림을 받았습니다. 아무래도 우리 직원에게 악성 첨부 파일이 포함된 이메일이 전송된 것 같습니다. 하지만 이 메시지가 누구에게 전송되었는지 추적하고 싶습니다. 그게 가능한지 아시나요? 소스 IP가 있지만 FirePower 알림에서 알려주는 유일한 것은 교환을 위해 로드 밸런서로 전달되었다는 것입니다. 어떤 우편함을 보냈는지 정확히 알려주지 않습니다. 이 정보를 찾을 수 있나요?
고마워요, 라이언
답변1
추가 조사에 따르면 이는 다음에 의해 생성된 것으로 보입니다.https://malware-hunter.shodan.io/Outlook Web Access 사이트를 방문해 보세요.