域控服务器被黑的一次溯源攻击取证

        那么攻击者,他也会说是想想上来去进行查看一些相关的信息,或者说更有助于它进行横向攻击渗透的一些信息收集的内容。好,那么他就有可能会登录对不对?那么登录我们再去排查到事件日志的时候,去查看了44624和4625的时候,我们发现在2:11:08的时候,有个4624的一个事件,这个事件是代表审核成功的登录事件。

好,在这个事件上面我们可以看到这个是谁登的?10.0.10这是谁?这是域控1。域控1登录的那么也就是说在5月19号2点11分08秒的时候,域控2遭受一个内对内的一个攻击事件,是域控1对域控2的一个登录。那像这种事情,如果是拿着正常的这种账号密码来进行登录,我们的安全设备是不一定会告警,他只是会说报一个敏感行为,但是我们通过这个事件,事件传感器是看到了另外一个就是我们还是对这个4624的这个事件去进行一个查看,看到什么?

在2:42:12的时候,人事PC对域控2进行了直接登录,人事PC对域控二进行了直接登录,我们来看这张图,域控1登录域控2,上来之后进行一些操作之后,可能会感觉到比较敏感,对不对?那怎么办?他可能会换一台电脑来进行登,是这样子。好那去登录的时候,它会有些什么样的信息,这个可以看到友好信息或者详细信息里面,他都会展示一些关于谁和谁登录,使用哪些信息,使用什么方式登录,会留下这些信息的,。在这里我们就查看到 pyramid one,这个是test test,这是什么?这是域控账号,然后是谁登的?是10.10.0.7810.1,0.0.78是人事PC,所以说,我们又得到了另外一个结果,那么也就是在2:42:12的时候,人事PC对用户2发起来的内对内的攻击,也就是人事PC登录了域控2这么一通。至于怎么去查看的话,这个就不用多说了吧。

这个就可以去查看。好,那么接下来,我们就是正常的排查完以后的话,我们就会对现阶段的一个工具路径进行一个还原总结。总结我给你看一下。最开始给你们看的那一个它是特别详细的。好,那这个就是我们当前事件的一个攻击路径的一个总结。再往后接下来要干啥?接下来我们还要去对什么?又产生告警了对不对?产生告警的是哪一台电脑是1.50,所以说接下来我们就对1.50进行一个上机排查和分析。

分享: