Windows SMB/RDP日志溯源总结

2024-04-21 17:32

本文主要是介绍Windows SMB/RDP日志溯源总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Windows SMB/RDP日志溯源总结


在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。

注:本文举例均为win7系统。


一、日志提取

  1. 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。
    在这里插入图片描述

  2. 直接访问日志文件路径也可提取
    C:\Windows\System32\winevt\Logs
    一般重点关注security.evtx、setup.evtx、system.evtx这三个日志
    在这里插入图片描述
    SMB登录日志主要是看安全日志,RDP登录日志除了安全日志之外还有其他多种方法

  3. 部分情况下安全日志被攻击者清空,查看RDP登录成功事件可以访问以下路径。记录了哪些源IP利用RDP方式成功登陆到了本机。
    Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
    在这里插入图片描述

  4. 注册表:
    HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\
    此路径记录了当前主机曾经登录过了哪些服务器。
    在这里插入图片描述

  5. 在安全日志里面筛选事件ID5156日志,可以看到本机在什么时候访问了其他服务器的3389端口
    在这里插入图片描述

  6. 有些系统不记录日志或者只记录登录成功日志,需要在组策略里面开启审核。
    在这里插入图片描述
    我这里是勾选了大部分,审核的东西越多,产生的日志量越大,一般选择箭头标红的这几个就可以了。

二、登陆类型与事件ID

  1. windows登录类型

可以参考微软官方文档:管理工具和登录类型

在这里:我们主要关注:
登录类型:2 交互式登录(也称为“本地登录”)
登录类型:3 Network (网络)
登录类型:10 远程桌面(以前称为“终端服务”)

通常情况下,smb产生的日志类型为登录类型3,rdp登录日志为登录类型10。在部分暴力破解的工具下,rdp暴力破解可能在日志上会显示登录类型3且不记录源IP。

使用hydra爆破rdp,windows
在这里插入图片描述
在这里插入图片描述
日志上没有记录源IP
在这里插入图片描述

  1. 事件ID
    一般来说我们需要关注以下两种事件ID类型:
    4624 —— 帐户已成功登录
    4625 —— 帐户无法登录
    1149 —— 用户认证成功

事件分析举例

  1. 使用hydra对主机进行SMB暴力破解

在某应急事件现场,发现恶意文件生成时间为xx年xx月xx日,则以此为时间点,提取日志进行分析。
在这里插入图片描述
可以看到爆破成功登录时间,源地址等信息,以此确定登录源地址。
在这里插入图片描述

日志分析工具

LogParser 工具可以快速分析日志情况,具体用法这里就不再赘述了。
在这里插入图片描述

这篇关于Windows SMB/RDP日志溯源总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/923644

相关文章

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

golang 日志log与logrus示例详解

《golang日志log与logrus示例详解》log是Go语言标准库中一个简单的日志库,本文给大家介绍golang日志log与logrus示例详解,感兴趣的朋友一起看看吧... 目录一、Go 标准库 log 详解1. 功能特点2. 常用函数3. 示例代码4. 优势和局限二、第三方库 logrus 详解1.

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

java常见报错及解决方案总结

《java常见报错及解决方案总结》:本文主要介绍Java编程中常见错误类型及示例,包括语法错误、空指针异常、数组下标越界、类型转换异常、文件未找到异常、除以零异常、非法线程操作异常、方法未定义异常... 目录1. 语法错误 (Syntax Errors)示例 1:解决方案:2. 空指针异常 (NullPoi

SpringBoot项目使用MDC给日志增加唯一标识的实现步骤

《SpringBoot项目使用MDC给日志增加唯一标识的实现步骤》本文介绍了如何在SpringBoot项目中使用MDC(MappedDiagnosticContext)为日志增加唯一标识,以便于日... 目录【Java】SpringBoot项目使用MDC给日志增加唯一标识,方便日志追踪1.日志效果2.实现步

SQL Server清除日志文件ERRORLOG和删除tempdb.mdf

《SQLServer清除日志文件ERRORLOG和删除tempdb.mdf》数据库再使用一段时间后,日志文件会增大,特别是在磁盘容量不足的情况下,更是需要缩减,以下为缩减方法:如果可以停止SQLSe... 目录缩减 ERRORLOG 文件(停止服务后)停止 SQL Server 服务:找到错误日志文件:删除

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

Python解析器安装指南分享(Mac/Windows/Linux)

《Python解析器安装指南分享(Mac/Windows/Linux)》:本文主要介绍Python解析器安装指南(Mac/Windows/Linux),具有很好的参考价值,希望对大家有所帮助,如有... 目NMNkN录1js. 安装包下载1.1 python 下载官网2.核心安装方式3. MACOS 系统安

Java反转字符串的五种方法总结

《Java反转字符串的五种方法总结》:本文主要介绍五种在Java中反转字符串的方法,包括使用StringBuilder的reverse()方法、字符数组、自定义StringBuilder方法、直接... 目录前言方法一:使用StringBuilder的reverse()方法方法二:使用字符数组方法三:使用自

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想