Recientemente hemos identificado numerosos intentos de inicio de sesión desde una máquina interna al controlador de dominio de directorio activo. Los intentos se dirigen a la cuenta del administrador del dominio.
Como respuesta inicial, verificamos si había algún malware en la máquina host que estaba iniciando estos intentos, pero un análisis de nuestro AV no arrojó ningún resultado. Poco después de esto, verificamos la lista de programas instalados en la máquina y todo fue como el lanzamiento estándar en una máquina de usuario. También para verificar si había o no una herramienta automatizada, cambié la IP de la máquina y la volví a conectar a la red al iniciar sesión en el dominio y al cerrar la sesión del dominio, manteniéndolo conectado a la red. En ambos casos, el único tráfico observado fue una única conexión IPC $ a Active Directory DC. No hubo intentos de inicio de sesión.
¿Cómo puedo detectar la causa de los múltiples intentos de inicio de sesión?