早安,
我收到來自 FirePower 的通知,表示存在與我們的交換伺服器的 MALWARE-CNC Win.Trojan.Gh0st 變體出站連接。我猜測我們的員工收到了一封包含惡意附件的電子郵件。我想追蹤這封信是發給誰的。你知道這是否可能嗎?我有源 IP,但 FirePower 通知告訴我的唯一資訊是它被定向到我們的負載平衡器進行交換。也沒有確切地告訴我它被送到哪個郵箱。可以找到這個資訊嗎?
謝謝,瑞安
答案1
經過進一步調查,這似乎是由https://malware-hunter.shodan.io/點選我們的 Outlook Web Access 網站。