Hai un Trojan interno tipo trickbot o similare che sta cercando dei punti dì accesso per diffondersi.
> Il giorno 20 nov 2021, alle ore 17:15, Andrea <[email protected]> ha > scritto: > > Ciao a tutti, > chiedo a chi è più esperto un consiglio per un problema che ho riscontrato da > qualche giorno, ho un server DC windows 2012R2 dal quale mi arrivano random > notifiche di tentativi di logon falliti (avevo configurato un task di > notifica di avviso al verificarsi di un evento ID 4776 e di lock account) , > andando a vedere i log vedo che la Source Workstation cambia continuamente > con nomi casuali vanificando così ogni tentativo di identificare la macchina > sorgente. > > Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla rete > interna ma secondo voi come è possibile identificare il vero indirizzo IP > dell'attacker? > > So che ci sono anche gli EDR che permettono di identificarli ma mi servirà > installare un agent su tutte le macchine, anche quelle remote, e mi ci vorrà > tempo. Quindi al momento mi serve qualcosa che identifichi subito questo > attacco. > > grazie! > Andrea > > >
