日志分析RDP暴力破解

免责声明：请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1.1 暴力破解

是一种通过穷举所有可能的密码或密钥组合来突破身份验证或加密保护的攻击方法。在渗透测试和网络安全中，暴力破解通常用于评估系统对密码破解的防护能力。攻击者通过自动化工具不停地尝试各种组合，直到找到正确的密码或密钥。

1.2 介绍

系统管理员在 Windows 安全事件日志中发现了大量审核失败事件。

1.3 分析

查看日志记录的相关事件ID

在 Windows 安全事件日志中，审核失败的 RDP 登录事件通常以 Event ID 4625 表示，表示登录失败。对于 RDP 连接，需要关注以下事件id：

• Event ID 4625：表示登录失败。查看失败原因、用户名等信息。

• Event ID 4771：表示 Kerberos 认证失败。

• Event ID 528 或 Event ID 540（在较旧版本的 Windows 中）表示登录失败。

每个失败事件的日志条目中会包含有关失败登录尝试的详细信息，包括：

• 用户名：攻击者正在尝试使用的用户名。

• 来源 IP 地址：攻击尝试来自的 IP 地址。

• 失败的原因：如错误的密码、账户被锁定等。

  1、查找所有 4625 事件

  发现登录失败的日志有3千多条，来自 192.168.1.100 的多个失败登录尝试表明，这个 IP 地址在短时间内多次尝试登录 Administrator 账户。

  2、筛选登录类型为 10 的事件

  只查看登录类型为 10（RDP 远程桌面登录）的事件。暴力破解通常会在 RDP 端口上进行，因此这是重点关注的事件类型。

  3、分析失败的登录原因

  下图为事件ID4625的详细信息：本地账户的用户名为administrator；失败原因: 未知用户名或密码错误；还有IP地址等。

1.4 防止 RDP 暴力攻击

1. 禁止 RDP 或限制访问禁用 RDP：如果没有必要，禁用服务器的 RDP 功能。限制 IP 地址范围：只允许特定 IP 地址访问 RDP。例如，使用防火墙规则，仅允许公司的办公 IP 地址访问 RDP。

2. 启用账户锁定策略配置账户锁定策略，防止暴力破解继续进行。设置一个策略，在输入错误密码超过一定次数后自动锁定账户。

3. 使用强密码和多因素认证（MFA）要求所有用户使用 强密码，并启用 多因素认证（MFA） 来增加安全性，确保即便密码被破解，攻击者仍无法成功登录。

4. 监控和报警配置 SIEM（安全信息和事件管理） 系统，实时监控和分析 RDP 登录失败事件。如果超过一定阈值的登录失败次数出现，立即触发警报。

5. 限制 RDP 登录的时间窗口如果不需要 24 小时都能登录，可以设置时间窗口，只允许在工作时间段内登录 RDP。

1.5 总结

RDP暴力破解是一种通过穷举密码组合来进行攻击的方法，通常会在事件日志中显示大量失败的登录记录。管理员可以通过分析 Windows 安全事件日志中的 Event ID 4625（登录失败）等事件，识别攻击者的来源 IP 地址和失败原因，进而确认是否存在暴力破解行为。为了防止此类攻击，可以采取禁用或限制 RDP 访问、启用账户锁定策略、使用强密码与多因素认证（MFA）、实时监控和报警、以及限制 RDP 登录时间窗口等安全措施。

原文始发于微信公众号（白帽攻防）：日志分析----RDP暴力破解