해킹, 윈도우계정 생성, mimikatz, 정보추출 관련 추적방법 문의드립니다.

자유게시판 more

검색 목록

쓰기

해킹, 윈도우계정 생성, mimikatz, 정보추출 관련 추적방법 문의드립니다.

I적우

2022-08

2022-08-10 12:27:33

조회 1050 추천 0

 안녕Ȣ16;세요.

운영1473;1064; 서버에 누군가 mimikatz 해킹도구를 설치Ȣ16;여 1221;보추출 시도한,152; 확1064;했습니다.

123.txt라ǉ16; 파1068;1060; 사1060;1592;가 커1256;서 알,172;.104;었고, 추출파1068; 내용1012; 근,144;/196; 확1064;해보니 mimikatz라ǉ16; 해킹도구를 사용한,144;/196; 확1064;.104;었습니다.

누군가 서버에 1217;속한,144; 같1008;데... 윈도우 2012 서버 1060;벤트뷰Ǻ12;에 source network address : 에 IP가 나오1648;가 않네요... 

Ǻ12;떤 0169;식1004;/196; 1217;근ᅆ1;/196;나 1217;속 IPመ1;1012; 확1064;해볼 수 1080;1012;가요? 

1312;Ǻ16; ǥ12;ᓠ1;드리,192;습니다.

감사합니다.

짧은글 일수록 신중하게.



system32 2022-08 디지털포렌식 관련 자격을 보유하고 있는 학생입니다. 응용 프로그램 및 서비스로그 - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational 해당 경로에서 접근한ip를 확인하실수 있습니다. 하지만 이 이벤트 로그는 RDP 를 사용했을때, 접속한 기록을 보는 이벤트 로그이며, RDP가 아닌 다른 방식으로 접근했다면, 다른 로그를 확인하셔야 합니다. 대표적으로 Teamviewer, RDP, 다른 원격 솔루션을 이용한것으로 보이는데, 커맨드로 접근한 경우도 배제할수 없어, 상세히 확인해보시는걸 추천드립니다. 디지털포렌식 관련 자격을 보유하고 있는 학생입니다. 응용 프로그램 및 서비스로그 - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational 해당 경로에서 접근한ip를 확인하실수 있습니다. 하지만 이 이벤트 로그는 RDP 를 사용했을때, 접속한 기록을 보는 이벤트 로그이며, RDP가 아닌 다른 방식으로 접근했다면, 다른 로그를 확인하셔야 합니다. 대표적으로 Teamviewer, RDP, 다른 원격 솔루션을 이용한것으로 보이는데, 커맨드로 접근한 경우도 배제할수 없어, 상세히 확인해보시는걸 추천드립니다.



I적우 2022-08 안녕하세요, 답변 감사드립니다. mimikatz 관련 파일 생성일시를 확인하였습니다. 하여 원격접속 이력 확인하였는데, 말씀주신 TerminalService-LocalSessionManager에 근접시간에 접속이력 로그가 있습니다. 그런데, Source Network Address : <-- 이부분이 공간으로 되어 있습니다... 확인해보니 전부다 IP 정보가 없습니다. 서버 문제인지... 난감합니다. ㅜ.ㅜ 안녕하세요, 답변 감사드립니다. mimikatz 관련 파일 생성일시를 확인하였습니다. 하여 원격접속 이력 확인하였는데, 말씀주신 TerminalService-LocalSessionManager에 근접시간에 접속이력 로그가 있습니다. 그런데, Source Network Address : <-- 이부분이 공간으로 되어 있습니다... 확인해보니 전부다 IP 정보가 없습니다. 서버 문제인지... 난감합니다. ㅜ.ㅜ



dateno1 2022-08 일단 RDP같은걸로 접근 안 하면 로그에 안 남아요 (이조차 계정 생성 가능할정도 권한 얻은 상태라면 삭제 가능) 일단 뭐가 심겼는지 정확하게 확인해보시고, 계정 생성말고 변조된게 있는지 확인해보세요 패턴을 확인하면 대충 어떻게 공격했는지 찾아지는 경우가 많습니다 일단 RDP같은걸로 접근 안 하면 로그에 안 남아요 (이조차 계정 생성 가능할정도 권한 얻은 상태라면 삭제 가능) 일단 뭐가 심겼는지 정확하게 확인해보시고, 계정 생성말고 변조된게 있는지 확인해보세요 패턴을 확인하면 대충 어떻게 공격했는지 찾아지는 경우가 많습니다

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

QnA

쓰기

333/437

번호	제목Page 333/437	글쓴이	날짜	조회	추천
2100	[비컴] SK매직 인덕션 켜지지 않음.. 전원 재인가하면 정상작동 (6)	수퍼싸이언	2022-09	3313	0
[비컴] SK매직 인덕션 켜지지 않음.. 전원… (6) 2022-09 3313 1 수퍼싸이언
2099	ASUS motherboard device driver USB CDROM 파티션 삭제 방법 문의 (8)	죠슈아	2022-09	911	0
ASUS motherboard device driver USB CDR… (8) 2022-09 911 1 죠슈아
2098	내부망 스위치 관련해서 질문 드립니다. (6)	시온씨	2022-09	701	0
내부망 스위치 관련해서 질문 드립니다. (6) 2022-09 701 1 시온씨
2097	Cisco 스위치 ip할당을 빨리 하는 법이 뭘까요? (3)	김동혁1	2022-09	671	0
Cisco 스위치 ip할당을 빨리 하는 법이 … (3) 2022-09 671 1 김동혁1
2096	eSIM 가입이 가능한 알뜰폰사 어디가 있을까요? (7)	화정큐삼	2022-09	729	0
eSIM 가입이 가능한 알뜰폰사 어디가 있을… (7) 2022-09 729 1 화정큐삼
2095	hp z820 메인보드는v3인데 cpu는 어떤것까지 업그레이드 되나요 고수님들알려주세요 (3)	vm510	2022-08	1576	0
hp z820 메인보드는v3인데 cpu는 어떤것… (3) 2022-08 1576 1 vm510
2094	[질문] 궁금한게 있어서 E5-2650V4 (17)	맑은여름	2022-08	2083	0
[질문] 궁금한게 있어서 E5-2650V4 (17) 2022-08 2083 1 맑은여름
2093	CPU 발열이 심한건가요? (13)	이지포토	2022-08	1934	0
CPU 발열이 심한건가요? (13) 2022-08 1934 1 이지포토
2092	[Dell서버] 혹시 이런상황 겪어보신분 있으신가요..? (29)	nelson1945	2022-08	2190	0
[Dell서버] 혹시 이런상황 겪어보신분 있… (29) 2022-08 2190 1 nelson1945
2091	제가 잡은 시스템의 문제를 찾고 싶습니다. (37)	신우섭	2022-08	1237	0
제가 잡은 시스템의 문제를 찾고 싶습니다. (37) 2022-08 1237 1 신우섭
2090	시스템이 너무 불안정합니다. (23)	장동건2014	2022-08	1563	0
시스템이 너무 불안정합니다. (23) 2022-08 1563 1 장동건2014
2089	윈도우 스팬볼륨 재 문의 드립니다 (11)	미수맨	2022-08	1512	0
윈도우 스팬볼륨 재 문의 드립니다 (11) 2022-08 1512 1 미수맨
2088	mysql DB 동시접속 5000명 처리 하려면요? (23)	천마건빵	2022-08	3548	0
mysql DB 동시접속 5000명 처리 하려면요? (23) 2022-08 3548 1 천마건빵
2087	노트북 수명은 얼마나 갈까요? (16)	이지포토	2022-08	7657	0
노트북 수명은 얼마나 갈까요? (16) 2022-08 7657 1 이지포토
2086	슈마 X10SLH-LN6TF 보드 문의드립니다 (1)	미수맨	2022-08	1203	0
슈마 X10SLH-LN6TF 보드 문의드립니다 (1) 2022-08 1203 1 미수맨
2085	dp to hdmi 변환 케이블 추천 부탁드립니다. (4)	장동건2014	2022-08	767	0
dp to hdmi 변환 케이블 추천 부탁드립니… (4) 2022-08 767 1 장동건2014
2084	Dell T7920 PCI-E 4way NVMe SSD 인식 (7)	리드2cpu	2022-08	1637	0
Dell T7920 PCI-E 4way NVMe SSD 인식 (7) 2022-08 1637 1 리드2cpu
2083	DELL T1700 파트 문의 드립니다. (11)	화정큐삼	2022-08	1115	0
DELL T1700 파트 문의 드립니다. (11) 2022-08 1115 1 화정큐삼
2082	서버가 종료 후에도 팬이 돌아가는 증상 (4)	RHNS	2022-08	1188	0
서버가 종료 후에도 팬이 돌아가는 증상 (4) 2022-08 1188 1 RHNS
2081	구형 아이패드나 미니 Wi-Fi + Cellular (7)	2CPU최주희	2022-08	1661	0
구형 아이패드나 미니 Wi-Fi + Cellular (7) 2022-08 1661 1 2CPU최주희