Windows SMB/RDP日志溯源总结

2024-04-21 17:32

本文主要是介绍Windows SMB/RDP日志溯源总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Windows SMB/RDP日志溯源总结


在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。

注:本文举例均为win7系统。


一、日志提取

  1. 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。
    在这里插入图片描述

  2. 直接访问日志文件路径也可提取
    C:\Windows\System32\winevt\Logs
    一般重点关注security.evtx、setup.evtx、system.evtx这三个日志
    在这里插入图片描述
    SMB登录日志主要是看安全日志,RDP登录日志除了安全日志之外还有其他多种方法

  3. 部分情况下安全日志被攻击者清空,查看RDP登录成功事件可以访问以下路径。记录了哪些源IP利用RDP方式成功登陆到了本机。
    Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
    在这里插入图片描述

  4. 注册表:
    HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\
    此路径记录了当前主机曾经登录过了哪些服务器。
    在这里插入图片描述

  5. 在安全日志里面筛选事件ID5156日志,可以看到本机在什么时候访问了其他服务器的3389端口
    在这里插入图片描述

  6. 有些系统不记录日志或者只记录登录成功日志,需要在组策略里面开启审核。
    在这里插入图片描述
    我这里是勾选了大部分,审核的东西越多,产生的日志量越大,一般选择箭头标红的这几个就可以了。

二、登陆类型与事件ID

  1. windows登录类型

可以参考微软官方文档:管理工具和登录类型

在这里:我们主要关注:
登录类型:2 交互式登录(也称为“本地登录”)
登录类型:3 Network (网络)
登录类型:10 远程桌面(以前称为“终端服务”)

通常情况下,smb产生的日志类型为登录类型3,rdp登录日志为登录类型10。在部分暴力破解的工具下,rdp暴力破解可能在日志上会显示登录类型3且不记录源IP。

使用hydra爆破rdp,windows
在这里插入图片描述
在这里插入图片描述
日志上没有记录源IP
在这里插入图片描述

  1. 事件ID
    一般来说我们需要关注以下两种事件ID类型:
    4624 —— 帐户已成功登录
    4625 —— 帐户无法登录
    1149 —— 用户认证成功

事件分析举例

  1. 使用hydra对主机进行SMB暴力破解

在某应急事件现场,发现恶意文件生成时间为xx年xx月xx日,则以此为时间点,提取日志进行分析。
在这里插入图片描述
可以看到爆破成功登录时间,源地址等信息,以此确定登录源地址。
在这里插入图片描述

日志分析工具

LogParser 工具可以快速分析日志情况,具体用法这里就不再赘述了。
在这里插入图片描述

这篇关于Windows SMB/RDP日志溯源总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/923644

相关文章

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

Python实现图片分割的多种方法总结

《Python实现图片分割的多种方法总结》图片分割是图像处理中的一个重要任务,它的目标是将图像划分为多个区域或者对象,本文为大家整理了一些常用的分割方法,大家可以根据需求自行选择... 目录1. 基于传统图像处理的分割方法(1) 使用固定阈值分割图片(2) 自适应阈值分割(3) 使用图像边缘检测分割(4)

Windows Docker端口占用错误及解决方案总结

《WindowsDocker端口占用错误及解决方案总结》在Windows环境下使用Docker容器时,端口占用错误是开发和运维中常见且棘手的问题,本文将深入剖析该问题的成因,介绍如何通过查看端口分配... 目录引言Windows docker 端口占用错误及解决方案汇总端口冲突形成原因解析诊断当前端口情况解

Java程序进程起来了但是不打印日志的原因分析

《Java程序进程起来了但是不打印日志的原因分析》:本文主要介绍Java程序进程起来了但是不打印日志的原因分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java程序进程起来了但是不打印日志的原因1、日志配置问题2、日志文件权限问题3、日志文件路径问题4、程序

Java使用SLF4J记录不同级别日志的示例详解

《Java使用SLF4J记录不同级别日志的示例详解》SLF4J是一个简单的日志门面,它允许在运行时选择不同的日志实现,这篇文章主要为大家详细介绍了如何使用SLF4J记录不同级别日志,感兴趣的可以了解下... 目录一、SLF4J简介二、添加依赖三、配置Logback四、记录不同级别的日志五、总结一、SLF4J

python logging模块详解及其日志定时清理方式

《pythonlogging模块详解及其日志定时清理方式》:本文主要介绍pythonlogging模块详解及其日志定时清理方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录python logging模块及日志定时清理1.创建logger对象2.logging.basicCo

Qt spdlog日志模块的使用详解

《Qtspdlog日志模块的使用详解》在Qt应用程序开发中,良好的日志系统至关重要,本文将介绍如何使用spdlog1.5.0创建满足以下要求的日志系统,感兴趣的朋友一起看看吧... 目录版本摘要例子logmanager.cpp文件main.cpp文件版本spdlog版本:1.5.0采用1.5.0版本主要

Redis在windows环境下如何启动

《Redis在windows环境下如何启动》:本文主要介绍Redis在windows环境下如何启动的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Redis在Windows环境下启动1.在redis的安装目录下2.输入·redis-server.exe

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

golang 日志log与logrus示例详解

《golang日志log与logrus示例详解》log是Go语言标准库中一个简单的日志库,本文给大家介绍golang日志log与logrus示例详解,感兴趣的朋友一起看看吧... 目录一、Go 标准库 log 详解1. 功能特点2. 常用函数3. 示例代码4. 优势和局限二、第三方库 logrus 详解1.