记一次银狐木马应急响应处置及溯源分析
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
某公司OA系统出现异常登录,运维人员发现固定IP在非办公时间成功登录并进行可疑操作。经调查,确认异常源自员工张某的电脑,可能存在恶意程序。最终,运维团队冻结该设备的登录权限并启动安全核查。
🎯
关键要点
- 某公司OA系统出现异常登录,运维人员发现固定IP在非办公时间成功登录并进行可疑操作。
- OA系统承载着公司1200余名员工的关键业务,异常登录可能导致商业机密外泄。
- 运维人员通过操作日志分析,确认异常登录源自员工张某的办公电脑。
- 对张某的电脑进行Windows日志排查,未发现暴力破解或非法远程控制的证据。
- 通过网络连接分析,发现异常端口60251与外部IP建立通信,可能存在恶意程序。
- 进一步分析explorer.exe进程,发现嵌套的OneDrive进程存在异常,可能为恶意程序。
❓
延伸问答
OA系统异常登录的原因是什么?
异常登录源自员工张某的电脑,可能存在恶意程序。
运维人员是如何发现异常登录的?
运维人员通过操作日志分析,发现固定IP在非办公时间成功登录并进行可疑操作。
异常登录可能导致什么后果?
异常登录可能导致商业机密外泄,影响生产经营秩序。
运维团队对张某的电脑采取了什么措施?
运维团队冻结了该设备的登录权限并启动安全核查。
在Windows日志排查中发现了什么异常?
未发现暴力破解或非法远程控制的证据,但发现异常端口60251与外部IP建立通信。
explorer.exe进程的异常表现是什么?
发现嵌套的OneDrive进程存在异常,可能为恶意程序。
➡️
