Al revisar los registros de una PC que creemos comprometidos, nos dimos cuenta de que teníamos caracteres especiales en los registros de fallas de autenticación originados en la PC. Con esto quiero decir que los registros se originan en PC$ȃ o PC$肒 . Nunca hemos visto esto antes. Los registros deben deben originarse solo en la cuenta del usuario. ¿Alguien ha visto esto antes o puede ayudar a explicar por qué está ocurriendo?
Se requieren diagnósticos adicionales para determinar si esto es malicioso o no.
Lo más probable es que los datos solo se corrompan en tránsito. Sin embargo, como profesional de seguridad, definitivamente debería considerar la idea de que alguien está tratando de jugar con la codificación para producir algún comportamiento "interesante" dentro de su sistema de autenticación.
¿Puede ejecutar una expresión regular muy exclusiva y de bajo nivel de otros registros relevantes para encontrar otras instancias de estas ID de PC? ¿Los registros que está viendo ahora le dan a cualquier otra información sobre los "usuarios" que precipitan el fallo de autenticación? ¿Ha visitado www.exploit-db.com para ver si esto "huele" a algún ataque conocido en su versión del servidor de autenticación?
Estos son lugares en los que empezaría.
Lea otras preguntas en las etiquetas malware