Mentre esaminiamo i log per un PC che riteniamo essere compromesso, abbiamo notato che avevamo caratteri speciali nei log degli errori di autenticazione provenienti dal PC stesso. Con questo intendo che i log provengono da PC$ȃ o PC$肒 . Non l'abbiamo mai visto prima. I log dovrebbero essere originati solo dall'account dell'utente. Qualcuno ha visto questo prima o può aiutare a spiegare perché si sta verificando?
Sono necessari ulteriori dati diagnostici per determinare se questo è dannoso o meno.
Molto probabilmente, i dati sono solo corrotti durante il transito. Tuttavia, come professionista della sicurezza, dovresti assolutamente avere l'idea che qualcuno stia cercando di giocare con la codifica per produrre un comportamento "interessante" all'interno del tuo sistema di autenticazione.
Puoi eseguire una regex molto esclusiva e di basso livello di altri log pertinenti per trovare altre istanze di questi ID di PC? I registri che stai visualizzando ora forniscono qualsiasi altra informazione su quegli "utenti" che causano l'errore di autenticazione? Sei stato a www.exploit-db.com per vedere se questo "odora di" qualsiasi attacco noto sulla tua versione del server di autenticazione?
Questi sono posti che vorrei iniziare.
Leggi altre domande sui tag malware