记一次银狐木马应急响应处置及溯源分析
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
某公司OA系统出现异常登录,运维人员发现固定IP在非办公时间成功登录并进行可疑操作。经调查,确认异常源自员工张某的电脑,可能存在恶意程序。最终,运维团队冻结该设备的登录权限并启动安全核查。
🎯
关键要点
- 某公司OA系统出现异常登录,运维人员发现固定IP在非办公时间成功登录并进行可疑操作。
- OA系统承载着公司1200余名员工的关键业务,异常登录可能导致商业机密外泄。
- 运维人员通过操作日志分析,确认异常登录源自员工张某的办公电脑。
- 对张某的电脑进行Windows日志排查,未发现暴力破解或非法远程控制的证据。
- 通过网络连接分析,发现异常端口60251与外部IP建立通信,可能存在恶意程序。
- 进一步分析explorer.exe进程,发现嵌套的OneDrive进程存在异常,可能为恶意程序。
➡️
