Christian表示,这一问题的发现可以追溯到2025年4月7日,当时公司的一名同事在Windows客户端的C盘根目录下偶然发现了这个名为“virus”的空文件夹。出于职业的敏感性,Christian立即着手展开调查,试图揭开这个神秘文件夹的真面目。
Christian所在的公司拥有约600台客户端设备。通过PDQ Connect网络扫描工具,他们发现这个“virus”文件夹最早在2024年4月10日出现在了一台设备上,随后在另外22台设备上陆续出现。然而,这些文件夹的创建模式似乎毫无规律可循,给调查带来了不小的难度。
值得注意的是,Christian的公司使用的是Trend Micro的Vision One作为端点安全解决方案,这是一款功能强大的托管XDR(扩展检测与响应)工具。在发现问题后,Christian第一时间向Trend Micro提交了支持请求,并联系了安全运营中心(SOC)。然而,SOC的回应却让他感到失望。SOC表示未检测到任何网络威胁活动,并建议直接删除这些空文件夹。
但Christian并没有轻易放弃。他注意到这些文件夹的访问控制列表(ACLs)显示所有者为“本地管理员”组,这排除了一般用户恶作剧的可能性。为了彻底查明真相,Christian检查了所有管理员账户并更换了密码,以排除域内“黄金票据”攻击的可能。然而,尽管如此,这些“virus”文件夹仍然继续扩散至更多的设备。
IT团队尝试删除部分文件夹,却发现这些文件夹在某些设备上会立即重新生成。这一奇怪的现象让Christian更加坚信,背后一定有某种未知的力量在作祟。通过审计策略,Christian终于在一台设备上捕捉到了关键线索:这些文件夹是由“coreServiceShell.exe”进程以SYSTEM权限创建的。而Trend Micro方面随后也承认,“coreServiceShell.exe”正是其核心程序进程。
这一发现让Christian和他的团队感到震惊和不解。他们难以理解为何Trend Micro的核心程序会创建这些看似恶意的空文件夹。目前,Christian仍在与Trend Micro方面积极沟通,希望尽快找到问题的根源并彻底解决这一安全隐患。
