KoreanHackerTeam
Moderator
1. 概述
1.1 案例
두 그림을 먼저 살펴 보겠습니다. 첫 번째 인상이 두 그림을 볼 때 이것은 성공적인 로그인, 그 유형은 네트워크 로그인을 나타내며 4624는 성공적인 로그인을 의미합니다. 이는 대부분의 사람들에게 해당 될 수 있습니다. 그래서 실제로는 어떻습니까? 여기에는 어떤 모호함이 있습니다. 오늘 나는 자세한 세부 사항을 여기에서 동기화 할 것입니다.
1.2 原理
사용자가 SMB 프로토콜을 사용하여 연결하고, 사용자에게 암호를 위해 사용자에게 프롬프트 할 때, 익명 사용자 (즉, 익명 사용자)를 사용하여 SMB 네트워크를 연결하면 네트워크가 성공적인 연결로 녹화됩니다. 다음 조건은이 로그가 생성됩니다.로그인 사용자는 익명입니다
로그인 프로세스는 NTLMSSP입니다
사용 프로토콜은 NTLM V1입니다
로그인 프로토콜은 SMB입니다
2. 测试
2.1 SMB连接失败情况
2.1.1 找不到网络名/拒绝访问
NET 사용을 사용하여 존재하지 않는 AAA $에 대한 연결을 시작하면 네트워크 이름을 찾을 수 없다고보고됩니다. 순 사용을 사용하면 연결이 성공적이지 않음을 알 수 있습니다.但是我们来看看日志,可以看到其产生了一条4624类型3的成功登陆的日志,这个仅仅表示使用anonymouse用户成功登录网络
올바른 디렉토리 경로를 사용하지만 사용자를 입력하지 않으면 오류를보고하고 액세스를 거부합니다. 이 상태로 인해 익명 사용자가 성공적으로 로그인하게됩니다. 타입 3
2.1.2 用户名或密码不正确
잘못된 계정 비밀번호로 로그인하면 사용자 이름 또는 비밀번호가 잘못보고됩니다.
이 경우 로그에는 익명 로그인 성공 로그가 없지만 4625 로그가 직접 표시되며 물론 로그인 사용자 이름도 표시됩니다.
2.2 SMB登录成功
로그인에 올바른 계정 비밀을 사용하면 로그에서 어떻게 수행됩니까?Type 3에 성공적인 로그인 외에도 4776 (확인 자격 증명) 및 4672 (로그인 권한 할당) Shijian이 있습니다.
3. 总结
공격자가 SMB를 사용하여 연결을 사용하는 경우 액세스 경로가 존재하지 않거나 계정이 존재하지 않으면 익명 사용자의 4624 로그 (익명 사용자)가 생성되므로 시스템이 로그인되었음을 의미하지 않습니다.4624가 반드시 공격자가 성공적으로 기록된다는 것을 의미하지는 않습니다. IP 필드, TargetUser 필드, 사용자 및 기타 여러 필드를 결합하고 로그 컨텍스트를 살펴 봐야합니다. 시스템 승인은 때때로 높은 경보를 4624로 생성합니다 (위의 필드는 의미만을 나타내지 만 특정 필드 이름은 복잡하고 명확하게 기억할 수 없습니다).