最近,我開始注意到公司網路中的幾台電腦在使用 notepad.exe 從我的 DC 上託管的 UNC 路徑開啟 .txt 和 .rtf 文件時表現出一些意外行為。
在每種情況下,開啟文件後,notepad.exe 都會在 tcp/389 (LDAP) 上形成到 DC 的 TCP 連接,並且也會產生 lsass.exe 作為子程序。
是否有原因導致這種情況在域中正常發生?我已使用我們的 EDR 工具驗證沒有發生惡意程式碼注入或 RPC,不存在惡意網路 IOC,並且進程'(notepad.exe)'譜系'正常(winlogon.exe -> userinit.exe - > explorer.exe -> notepad.exe)。
我是否遺漏了一些明顯的東西?任何和所有的見解表示讚賞。