SMB登录事件排查经验分享
作者:互联网
1. 概述
1.1 案例
先来看两张图: 看到这两张图的第一印象应该是这是一个成功的登陆,其类型为3,代表网络登陆,4624表示成功登陆,可能大部分人都是如此认为。 那么实际上呢?这里面是存在一定歧义的,今天给大家同步一下这里面的详细细节。![](https://www.icode9.com/i/l/?n=22&i=blog/1049983/202208/1049983-20220825024502939-245076646.png)
![](https://www.icode9.com/i/l/?n=22&i=blog/1049983/202208/1049983-20220825024504114-384804392.png)
1.2 原理
当用户使用SMB 协议连接时,在提示用户输入密码之前,其会使用anonymous用户(也就是匿名用户)进行 SMB 网络连接,一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志:
登陆用户为anonymous
登录进程为NTLMssp
使用协议为NTLM V1
登陆协议为SMB
2. 测试
2.1 SMB连接失败情况
![](https://www.icode9.com/i/l/?n=22&i=blog/1049983/202208/1049983-20220825024504903-1337047522.png)
2.1.1 找不到网络名/拒绝访问
直接使用net use发起一个针对不存在的aaa$的连接,会报错找不到网络名,使用net use也可以看到其连接并没有成功:
但是我们来看看日志,可以看到其产生了一条4624类型3的成功登陆的日志,这个仅仅表示使用anonymouse用户成功登录网络
使用正确的目录路径,但不输入用户会报错拒绝访问,该状态同样会导致一个匿名用户的登录成功 类型3
2.1.2 用户名或密码不正确
使用不正确的账密登录时,会报错用户名或密码不正确。
这种情况在日志中就不会出现匿名登录登录成功日志,而是直接显示4625日志,当然也显示了登录的用户名。
2.2 SMB登录成功
如果使用正确的账密进行登录的话在日志中的表现是如何呢? 除类型3的登录成功以外,还会有4776(验证凭据)和4672(登录权限分配)的shijian
3. 总结
当攻击者使用SMB进行连接时,若访问路径不存在或账号不存在时将产生anonymous用户(匿名用户)的登录类型3的4624日志,并非代表机器失已经被登录。
标签:登录,用户,成功,排查,4624,日志,SMB 来源: https://www.cnblogs.com/backlion/p/16622938.html