Windows远程桌面暴力破解痕迹之日志ID

admin
admin
admin
101411
文章
87
评论
2022年6月18日23:02:18评论314 views字数 2026阅读6分45秒阅读模式

    这段时间碰到勒索病毒的事情有点多。查了下资料,发现近两年来勒索过程中Windows远程桌面被暴力破解的占比达到40%,勒索手段中排名第一。这不是本文的重点,我想表达的是:到达现场后,我们如何windows日志中一眼快速找到远程暴力破解的痕迹,从而确认系暴力破解造成。


    对勘验人员来说,这是基本功,应该都非常熟悉,我写这有点多此一举了。原本没想写这个,只是在最近出过几次现场后,觉得有必要总结一下,作为一个点提炼出来,分享给大家,加快排查速度,让受难客户对我们警方的专业能力更赞叹一些Windows远程桌面暴力破解痕迹之日志ID


    言归正传。我们要关注的是windows事件日志的ID为4625(登录失败)的情况。


Windows 事件日志中,它记录为事件ID=4625表示失败,记录为事件ID=4624表示成功。


一、日志举例

完整的日志非常冗长,如下所示:

2022/06/04 02:53:09 WinEvtLog: Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: no_user: no_domain: Windows-Test1: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: AZUREUSER Account Domain: ? Failure Information: Failure Reason: %%2313 Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: - Source Network Address: 164.92.82.228 Source Port: 0 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted.


您可以忽略该日志中的大部分内容。重要的部分是:



属性 描述
审计失败(4625): 这是事件 ID 4625 的审核失败。
登录类型:3: 登录类型 3 表示这是一次远程登录尝试。
帐户名称:AZUREUSER 那是用户尝试过的(AZUREUSER)。
源网络地址:164.92.82.228 攻击者使用的IP地址。



如果您在 Windows 日志中看到此事件 ID (4625),请特别注意登录类型。某些服务和内部应用程序可以使用登录类型 4 或 5 记录故障,这很常见,不是远程攻击的一部分。另一方面,登录类型 2 表示有人在计算机上实际登录。这是每个登录类型的快速备忘单:



登录类型 描述
2 交互式 - 用户无法本地登录到计算机 - 物理访问。
3: 远程 - 用户无法远程登录计算机 - 远程访问。
4 批处理 - 批处理程序(进程)无法登录。
5 服务 - 服务登录失败。
7 解锁 - 用户尝试解锁计算机时密码失败。
8 NetworkCleartext - 远程登录失败并通过明文尝试。
9 NewCredentials - 用户未能为新凭据克隆其登录令牌。
10 NewCredentials - 用户未能为新凭据克隆其登录令牌。
11 CachedInteractive - 用户使用本地存储在计算机上的网络凭据登录失败。



特别注意类型 3,它用于远程登录。另请注意,当您通过 RDP 远程登录(或登录失败)时,它使用登录类型 3,而不是登录类型 10(即使文档说它将是类型 10)。


二、命令行提取

1、查看登录成功的:

wevtutil qe security /q:"*[EventData[Data[@Name='LogonType']='10'] and System[(EventID=4624)]]" /f:text /rd:true /c:10


2、查看登录失败的:

wevtutil qe security /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4625)]]" /f:text /rd:true /c:10


通过以上两条命令,可以快速地罗列出登录情况。尤其是暴力破解造成的登录失败。


好了,没什么技术含量,只是一点总结。

原文始发于微信公众号(MicroPest):Windows远程桌面暴力破解痕迹之日志ID

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月18日23:02:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows远程桌面暴力破解痕迹之日志IDhttps://cn-sec.com/archives/1127162.html

发表评论

匿名网友 填写信息