Bom dia,
Recebi uma notificação da FirePower de que havia uma conexão de saída da variante MALWARE-CNC Win.Trojan.Gh0st para nosso servidor Exchange. Suponho que foi enviado um e-mail para um de nossos funcionários com um anexo malicioso. Eu gostaria de rastrear para quem isso foi enviado. Você sabe se isso é possível. Tenho o IP de origem, mas a única coisa que a notificação do FirePower me diz é que ele foi direcionado ao nosso balanceador de carga para troca. Não me diz exatamente para qual caixa de correio estava sendo enviada. É possível encontrar esta informação?
Obrigado, Ryan
Responder1
Após uma investigação mais aprofundada, parece que isso foi gerado porhttps://malware-hunter.shodan.io/acessando nosso site do Outlook Web Access.