我目前有一位客户,他注意到防火墙日志指向一个他们以前从未使用过的 URL。他们阻止了最近遭受勒索软件攻击的另一家公司的域的所有流量,现在他们想知道这些流量是否可以被视为入侵指标。
他们似乎使用了 Outlook 插件 GpgOL,因为 URL 表明它与 gnupg 有关,我想问一下是否有人知道这种行为。
[https://]openpgpkey.domain.com
我的猜测是,如果之前没有保存过公钥,那么当电子邮件发送到以下地址时,插件会尝试从密钥服务器获取公钥[电子邮件保护]
但另一方面,这可能只是一种隐藏流量并将其伪装成人们认为正常的流量的巧妙方法。
谢谢您的任何建议〜
(如果这变成了 IoC,我会更新这个问题)
答案1
经过一些威胁搜寻工作,我们能够确定 Outlook 插件是这些请求的原因,尽管消息来源似乎没有提到这样的功能。
用户界面中禁用了一项设置,该设置表示它将尝试解析未解析的主机地址。