我收到了有关我的 Active Directory 服务器 2016 的以下信息:
通过在 Windows 进程创建 (WID 4688) 日志上下文中利用 Red Cloak 威胁情报,检测到主机 #ADservername# 上的潜在恶意进程活动 ('UAC 绕过 - 受信任文件夹滥用')。
摘要:UAC 绕过 - 受信任文件夹滥用(WID 4688:credwiz.exe)由 ADserverName\ServerIP 上的“此处为用户帐户名称”执行
请帮助我理解这意味着什么以及我应该采取什么步骤。
注意:此用户未从服务器注销,仅“断开连接”,并且最近(5 天前)更改了密码。这会导致此类事件吗?
答案1
计算机好像感染了病毒。
这
通过滥用信任文件夹来绕过 UAC
是一种通过使用空白结尾的文件夹来欺骗 Windows 以管理员权限运行程序的方法
Windows \System32
。
执行此操作的程序名为credwiz.exe
。该名称是合法的,但该程序可能不是 Windows 的一部分。