해킹, 윈도우계정 생성, mimikatz, 정보추출 관련 추적방법 문의드립니다.

가상화 more

검색 목록

쓰기

해킹, 윈도우계정 생성, mimikatz, 정보추출 관련 추적방법 문의드립니다.

I적우

2022-08

2022-08-10 12:27:33

조회 1051 추천 0

 안녕Ȣ16;세요.

운영1473;1064; 서버에 누군가 mimikatz 해킹도구를 설치Ȣ16;여 1221;보추출 시도한,152; 확1064;했습니다.

123.txt라ǉ16; 파1068;1060; 사1060;1592;가 커1256;서 알,172;.104;었고, 추출파1068; 내용1012; 근,144;/196; 확1064;해보니 mimikatz라ǉ16; 해킹도구를 사용한,144;/196; 확1064;.104;었습니다.

누군가 서버에 1217;속한,144; 같1008;데... 윈도우 2012 서버 1060;벤트뷰Ǻ12;에 source network address : 에 IP가 나오1648;가 않네요... 

Ǻ12;떤 0169;식1004;/196; 1217;근ᅆ1;/196;나 1217;속 IPመ1;1012; 확1064;해볼 수 1080;1012;가요? 

1312;Ǻ16; ǥ12;ᓠ1;드리,192;습니다.

감사합니다.

짧은글 일수록 신중하게.



system32 2022-08 디지털포렌식 관련 자격을 보유하고 있는 학생입니다. 응용 프로그램 및 서비스로그 - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational 해당 경로에서 접근한ip를 확인하실수 있습니다. 하지만 이 이벤트 로그는 RDP 를 사용했을때, 접속한 기록을 보는 이벤트 로그이며, RDP가 아닌 다른 방식으로 접근했다면, 다른 로그를 확인하셔야 합니다. 대표적으로 Teamviewer, RDP, 다른 원격 솔루션을 이용한것으로 보이는데, 커맨드로 접근한 경우도 배제할수 없어, 상세히 확인해보시는걸 추천드립니다. 디지털포렌식 관련 자격을 보유하고 있는 학생입니다. 응용 프로그램 및 서비스로그 - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational 해당 경로에서 접근한ip를 확인하실수 있습니다. 하지만 이 이벤트 로그는 RDP 를 사용했을때, 접속한 기록을 보는 이벤트 로그이며, RDP가 아닌 다른 방식으로 접근했다면, 다른 로그를 확인하셔야 합니다. 대표적으로 Teamviewer, RDP, 다른 원격 솔루션을 이용한것으로 보이는데, 커맨드로 접근한 경우도 배제할수 없어, 상세히 확인해보시는걸 추천드립니다.



I적우 2022-08 안녕하세요, 답변 감사드립니다. mimikatz 관련 파일 생성일시를 확인하였습니다. 하여 원격접속 이력 확인하였는데, 말씀주신 TerminalService-LocalSessionManager에 근접시간에 접속이력 로그가 있습니다. 그런데, Source Network Address : <-- 이부분이 공간으로 되어 있습니다... 확인해보니 전부다 IP 정보가 없습니다. 서버 문제인지... 난감합니다. ㅜ.ㅜ 안녕하세요, 답변 감사드립니다. mimikatz 관련 파일 생성일시를 확인하였습니다. 하여 원격접속 이력 확인하였는데, 말씀주신 TerminalService-LocalSessionManager에 근접시간에 접속이력 로그가 있습니다. 그런데, Source Network Address : <-- 이부분이 공간으로 되어 있습니다... 확인해보니 전부다 IP 정보가 없습니다. 서버 문제인지... 난감합니다. ㅜ.ㅜ



dateno1 2022-08 일단 RDP같은걸로 접근 안 하면 로그에 안 남아요 (이조차 계정 생성 가능할정도 권한 얻은 상태라면 삭제 가능) 일단 뭐가 심겼는지 정확하게 확인해보시고, 계정 생성말고 변조된게 있는지 확인해보세요 패턴을 확인하면 대충 어떻게 공격했는지 찾아지는 경우가 많습니다 일단 RDP같은걸로 접근 안 하면 로그에 안 남아요 (이조차 계정 생성 가능할정도 권한 얻은 상태라면 삭제 가능) 일단 뭐가 심겼는지 정확하게 확인해보시고, 계정 생성말고 변조된게 있는지 확인해보세요 패턴을 확인하면 대충 어떻게 공격했는지 찾아지는 경우가 많습니다

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

QnA

쓰기

14/437

번호	제목Page 14/437	글쓴이	날짜	조회	추천
8480	서버랙 배대지 구매 해보신분 계신가요 (12)	개발네발	06-09	579	0
서버랙 배대지 구매 해보신분 계신가요 (12) 06-09 579 1 개발네발
8479	SAS 하드를 쓰기 위한 케이블과 컨터버 확인 좀 부탁드립니다. (2)	새총	2023-04	1107	0
SAS 하드를 쓰기 위한 케이블과 컨터버 확… (2) 2023-04 1107 1 새총
8478	MOSFET 4804N 하나만 구하려면 어디서 구매 가능할까요? (12)	SPD2	2022-03	1242	0
MOSFET 4804N 하나만 구하려면 어디서 구… (12) 2022-03 1242 1 SPD2
8477	마이닝 RX470 포트없는 제품 써보신분 (3)	i72600k	06-07	426	0
마이닝 RX470 포트없는 제품 써보신분 (3) 06-07 426 1 i72600k
8476	NVLink 관련 문의드립니다 (2)	NUXE	2023-04	1347	0
NVLink 관련 문의드립니다 (2) 2023-04 1347 1 NUXE
8475	지식산업센터 서로 다른 호실간 네트워크 연결 문의 (13)	권태영	2022-03	1182	0
지식산업센터 서로 다른 호실간 네트워크 … (13) 2022-03 1182 1 권태영
8474	윈도우용 Docker Desktop에서 CPU 128쓰레드 인식하게 하는법 (6)	핸즈	06-05	538	0
윈도우용 Docker Desktop에서 CPU 128쓰레… (6) 06-05 538 1 핸즈
8473	국내에 이런 오픈프레임 랙은 구할 수 있을까요? (12)	개발네발	2023-04	2993	0
국내에 이런 오픈프레임 랙은 구할 수 있… (12) 2023-04 2993 1 개발네발
8472	몰렉스 단자 압착 문제 (27)	이희주	2022-03	1831	0
몰렉스 단자 압착 문제 (27) 2022-03 1831 1 이희주
8471	헤놀로지 RAID 5 HDD 추가에 필요한 시간과 빨리하는 방법 (7)	신우섭	06-04	350	0
헤놀로지 RAID 5 HDD 추가에 필요한 시간… (7) 06-04 350 1 신우섭
8470	4tb 4개 레이드 5 리빌드 시간 얼마나 걸리나요? (11)	청춘	2023-04	1063	0
4tb 4개 레이드 5 리빌드 시간 얼마나 걸… (11) 2023-04 1063 1 청춘
8469	리눅스 df 명령어 질문입니다. (9)	화란	2022-03	1923	0
리눅스 df 명령어 질문입니다. (9) 2022-03 1923 1 화란
8468	ESXi에서 10G 속도가 다 안나옵니다. (6)	박	06-03	461	0
ESXi에서 10G 속도가 다 안나옵니다. (6) 06-03 461 1 박
8467	랜카드가 DHCP로 ip 주소를 받아 오지 못하는 문제 (9)	백수가꿈	2023-04	2022	0
랜카드가 DHCP로 ip 주소를 받아 오지 못… (9) 2023-04 2022 1 백수가꿈
8466	애플컴퓨터로 캐드프로그램을? (7)	NiteFlite9	2022-03	3120	0
애플컴퓨터로 캐드프로그램을? (7) 2022-03 3120 1 NiteFlite9
8465	바이오스 업글 문의드립니다 (3)	NiteFlite9	06-01	584	0
바이오스 업글 문의드립니다 (3) 06-01 584 1 NiteFlite9
8464	옛날 컴퓨터 질문드립니다 b75 (5)	가성비가좋다	2023-04	1576	0
옛날 컴퓨터 질문드립니다 b75 (5) 2023-04 1576 1 가성비가좋다
8463	2.5g 스위치를 쓸경우 질문입니다 (2)	영산회상	2022-03	1307	0
2.5g 스위치를 쓸경우 질문입니다 (2) 2022-03 1307 1 영산회상
8462	회선유지 요금제 (13)	화란	05-29	548	0
회선유지 요금제 (13) 05-29 548 1 화란
8461	sk hynix sc311 sata 256 ssd 펌웨어 (1)	2CPU최주희	2023-04	1678	0
sk hynix sc311 sata 256 ssd 펌웨어 (1) 2023-04 1678 1 2CPU최주희