Доброе утро,
Я получил уведомление от FirePower о том, что на наш сервер обмена было исходящее соединение варианта MALWARE-CNC Win.Trojan.Gh0st. Я предполагаю, что одному из наших сотрудников было отправлено электронное письмо с вредоносным вложением. Я хотел бы отследить, кому оно было отправлено. Не знаете, возможно ли это? У меня есть исходный IP-адрес, но единственное, что сообщает мне уведомление FirePower, это то, что оно было направлено на наш балансировщик нагрузки для обмена. Также не сообщается, на какой именно почтовый ящик оно было отправлено. Можно ли найти эту информацию?
Спасибо, Райан.
решение1
После дальнейшего расследования выяснилось, что это было вызваноhttps://malware-hunter.shodan.io/посетив наш сайт Outlook Web Access.