最近,我开始注意到,当使用 notepad.exe 从我的 DC 上托管的 UNC 路径打开 .txt 和 .rtf 文档时,公司网络中的几台计算机表现出一些意外行为。
在每种情况下,打开文档时,notepad.exe 都会在 tcp/389(LDAP)上与 DC 形成 TCP 连接,并且还会生成 lsass.exe 作为子进程。
这在域中正常发生的原因是什么?我已使用我们的 EDR 工具验证没有发生恶意代码注入或 RPC,没有恶意网络 IOC,并且进程(notepad.exe)的“谱系”正常(winlogon.exe -> userinit.exe -> explorer.exe -> notepad.exe)。
我是否遗漏了某些显而易见的东西?欢迎提供任何见解。