Jump to content
Sign in to follow this  
katbert

Анализ журналов и IP-адрес источника подбора паролей

Recommended Posts

Запустил задачу "Анализ журналов" с настройками по умолчанию. Попытался с одного из серверов подобрать пароль для входа в RDP. Правил сработало четко на 11-ую попытку. Пробовал заходить под не существующей в домене учетной записью somedomain\hacker1

В событии задачи "Анализ журналов" зафиксировалось только плоское имя рабочей станции, с которой был подбор, но не ее FQDN и IP.

Если сеть большая (и доменов больше одного) или возможен подбор пароля через Интернет - то плоского имени компьютера атакующего будет маловато

 

Цитата

Обнаружена возможная попытка взлома пароля.
Имя правила: Обнаружена возможная попытка взлома пароля с помощью подбора
Идентификатор правила: 00000000-0000-0000-0000-000000000001

<?xml version="1.0" encoding="utf-8"?>
<SubjectUserSid>S-1-0-0</SubjectUserSid>
<SubjectUserName>-</SubjectUserName>
<SubjectDomainName>-</SubjectDomainName>
<SubjectLogonId>0x0</SubjectLogonId>
<TargetUserSid>S-1-0-0</TargetUserSid>
<TargetUserName>hacker1</TargetUserName>
<TargetDomainName>somedomain</TargetDomainName>
<Status>0xc000006d</Status>
<FailureReason>%%2313</FailureReason>
<SubStatus>0xc0000064</SubStatus>
<LogonType>3</LogonType>
<LogonProcessName>NtLmSsp </LogonProcessName>
<AuthenticationPackageName>NTLM</AuthenticationPackageName>
<WorkstationName>INTEL-SRV</WorkstationName>
<TransmittedServices>-</TransmittedServices>
<LmPackageName>-</LmPackageName>
<KeyLength>0</KeyLength>
<ProcessId>0x0</ProcessId>
<ProcessName>-</ProcessName>
<IpAddress>-</IpAddress>
<IpPort>-</IpPort>
<LogName>SECURITY</LogName>
<EventID>4625</EventID>
<TimeGenerated>1512729127</TimeGenerated>
<UserSid>S-1-0-0</UserSid>

 

 

Edited by katbert

Share this post


Link to post

Добрый день.

По данному срабатыванию идет трансляция события из Windows Event Log  как есть. 

В зависимости от версии OS защищаемого компьютера информация об атакующей машине будет разная.

Например, наличие только "плоского" имени.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.