Christian表示,這一問題的發現可以追溯到2025年4月7日,當時公司的一名同事在Windows客戶端的C盤根目錄下偶然發現了這個名為“virus”的空文件夾。出于職業的敏感性,Christian立即著手展開調查,試圖揭開這個神秘文件夾的真面目。
Christian所在的公司擁有約600臺客戶端設備。通過PDQ Connect網絡掃描工具,他們發現這個“virus”文件夾最早在2024年4月10日出現在了一臺設備上,隨后在另外22臺設備上陸續出現。然而,這些文件夾的創建模式似乎毫無規律可循,給調查帶來了不小的難度。
值得注意的是,Christian的公司使用的是Trend Micro的Vision One作為端點安全解決方案,這是一款功能強大的托管XDR(擴展檢測與響應)工具。在發現問題后,Christian第一時間向Trend Micro提交了支持請求,并聯系了安全運營中心(SOC)。然而,SOC的回應卻讓他感到失望。SOC表示未檢測到任何網絡威脅活動,并建議直接刪除這些空文件夾。
但Christian并沒有輕易放棄。他注意到這些文件夾的訪問控制列表(ACLs)顯示所有者為“本地管理員”組,這排除了一般用戶惡作劇的可能性。為了徹底查明真相,Christian檢查了所有管理員賬戶并更換了密碼,以排除域內“黃金票據”攻擊的可能。然而,盡管如此,這些“virus”文件夾仍然繼續擴散至更多的設備。
IT團隊嘗試刪除部分文件夾,卻發現這些文件夾在某些設備上會立即重新生成。這一奇怪的現象讓Christian更加堅信,背后一定有某種未知的力量在作祟。通過審計策略,Christian終于在一臺設備上捕捉到了關鍵線索:這些文件夾是由“coreServiceShell.exe”進程以SYSTEM權限創建的。而Trend Micro方面隨后也承認,“coreServiceShell.exe”正是其核心程序進程。
這一發現讓Christian和他的團隊感到震驚和不解。他們難以理解為何Trend Micro的核心程序會創建這些看似惡意的空文件夾。目前,Christian仍在與Trend Micro方面積極溝通,希望盡快找到問題的根源并徹底解決這一安全隱患。
