windows 暴力破解协议关联
sysmon里采集到的数据:
+ System
- Provider
[ Name] Microsoft-Windows-Sysmon
[ Guid] {5770385F-C22A-43E0-BF4C-06F5698FFBD9}
EventID 3
Version 5
Level 4
Task 3
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2022-10-09T03:46:19.534422100Z
EventRecordID 311410
Correlation
- Execution
[ ProcessID] 4044
[ ThreadID] 2624
Channel Microsoft-Windows-Sysmon/Operational
Computer WIN-0BIKIQLCCRQ
- Security
[ UserID] S-1-5-18
- EventData
RuleName -
UtcTime 2022-10-09 03:46:06.642
ProcessGuid {2307292D-39CD-6342-1500-000000002500}
ProcessId 796
Image C:\Windows\System32\svchost.exe
User NT AUTHORITY\NETWORK SERVICE
Protocol tcp
Initiated false
SourceIsIpv6 false
SourceIp 192.168.81.1
SourceHostname -
SourcePort 61539
SourcePortName -
DestinationIsIpv6 false
DestinationIp 192.168.81.128
DestinationHostname -
DestinationPort 3389
DestinationPortName -
windows 事件管理器里采集的安全事件: 时间上对比,一个是UtcTime 2022-10-09 03:46:06.642 ,一个是[ SystemTime] 2022-10-09T03:46:16.960417600Z 相差了10s,这延迟也是醉了!进程上看,一个是svchost,一个是winlogon!看来进程上关联暂时行不通。
+ System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4624
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2022-10-09T03:46:16.960417600Z
EventRecordID 5788
Correlation
- Execution
[ ProcessID] 508
[ ThreadID] 596
Channel Security
Computer WIN-0BIKIQLCCRQ
Security
- EventData
SubjectUserSid S-1-5-18
SubjectUserName WIN-0BIKIQLCCRQ$
SubjectDomainName WORKGROUP
SubjectLogonId 0x3e7
TargetUserSid S-1-5-21-741148093-1928057603-1691591098-1000
TargetUserName bonelee
TargetDomainName WIN-0BIKIQLCCRQ
TargetLogonId 0x221a49
LogonType 10
LogonProcessName User32
AuthenticationPackageName Negotiate
WorkstationName WIN-0BIKIQLCCRQ
LogonGuid {00000000-0000-0000-0000-000000000000}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x7bc
ProcessName C:\Windows\System32\winlogon.exe
IpAddress 192.168.81.1
IpPort 61539
logtype = 10
登录进程为advapi
零、约定
为方便后文叙述,不妨假设:软件学院服务器的本地管理员账户是:administrator。
一、缘起
昨日软件学院网站无法访问,后来发现是权限问题,配置后恢复正常。然解决途中,偶尔看到事件查看器中,有本地管理员administrator登陆系统的记录;但是经过询问,发现知道管理员密码的维护人员都没有在该时间登陆服务器。故因而生疑。
二、情况描述
1)事件查看器中记录:
来源:Security ;时间:3:00:00 ;类别:登录/注销 ;类型:审核成功 ;事件ID:528 ;用户:administrator
描述:
登录类型: 4 ;登录进程: Advapi ;身份验证数据包: Negotiate ;源网络地址: - ;源端口:- 。
2)发现:每天3:00,都有此登录消息记录。
3)从微软官方技术帮助文章得证,事件ID528是登录Windows桌面的ID记录。(详见/hope/Education/ShowArticle.asp?ArticleID=4142)
4)无法跟踪到源网络地址(IP)。
5)服务器上每天3:00会进行ntbackup计划任务,登录事件有可能与之相关。
三、查看过程
1)对比远程登录信息(测试地方:工作站),发现其他信息都一致,不同的在于:
远程登录信息为:登录类型:10 ;登录进程: User32 ;源网络地址: 202.116.83.214 ;源端口:4351 。
2)于是百度“登录进程: Advapi”,未果;后来在微软官网上看到关于“登录进程: Advapi”的解释——API call to LogonUser。
(详见/hope/Education/ShowArticle.asp?ArticleID=4142)。
3)无独有偶,后来无意间在50上看到了相同的的登录事件,而且记录是每三个小时一次,这个与50上面的桌面信息更新的任务计划时间刚好吻合;而在ss上,每天3:00则刚好是Ntbackup的任务计划的时间。
4)因此,加上微软的官方解释,推断软件学院服务器上和50上的登录(EventID为528,登录用户为管理员,登录进程为advapi)皆为由于任务计划调用了API,而“API则调用了LogonUser(管理员)(API
call to LogonUser)”,从而产生了登录事件。
5)后来百度“登录类型”,得到了进一步验证:(/hope/Education/ShowArticle.asp?ArticleID=4140)
a、此次登录信息为:登录类型4:对应于批处理(Batch),即“计划任务服务”
b、远程测试登录信息为:登录类型10:远程交互(RemoteInteractive)。
四、结论
软件学院上每天三点的本地管理员administrator登陆系统的记录,乃每天三点的NtBackup的计划任务服务执行从而调用登录的缘故。
相关文章:
Windows登录类型
/hope/Education/ShowArticle.asp?ArticleID=4140
审核用户身份验证
/hope/Education/ShowArticle.asp?ArticleID=4142
浙公网安备 33010602011771号