早上好,
我收到 FirePower 的通知,说有一个 MALWARE-CNC Win.Trojan.Gh0st 变体出站连接到我们的交换服务器。我猜想有人向我们的一名员工发送了一封带有恶意附件的电子邮件。不过我想追踪一下这封邮件是发给谁的。你知道这是否可能吗?我有源 IP,但 FirePower 通知只告诉我它被定向到我们的负载均衡器进行交换。并没有确切告诉我它被发送到哪个邮箱。可以找到这个信息吗?
谢谢,瑞安
答案1
经过进一步调查,发现这是由https://malware-hunter.shodan.io/访问我们的 Outlook Web Access 网站。