Недавно я начал замечать, что несколько компьютеров в моей корпоративной сети демонстрируют неожиданное поведение при открытии документов .txt и .rtf из пути UNC, размещенного на моем DC, с помощью notepad.exe.
В каждом случае при открытии документа notepad.exe формирует TCP-соединение по протоколу tcp/389 (LDAP) с контроллером домена, а также запускает lsass.exe как дочерний процесс.
Есть ли причина, по которой это обычно происходит в домене? Я использовал наши инструменты EDR, чтобы убедиться, что не произошло внедрения вредоносного кода или RPC, нет вредоносных сетевых IOC и что процесс (notepad.exe) 'lineage' является нормальным (winlogon.exe -> userinit.exe -> explorer.exe -> notepad.exe).
Есть ли что-то очевидное, что я упускаю? Любые идеи приветствуются.