文章总结： 本文介绍了如何在Windows事件日志中识别远程桌面暴力破解痕迹的方法。重点是通过事件ID4625(登录失败)和登录类型3(远程登录)来识别攻击，并提供命令行工具快速提取相关日志。文章指出勒索病毒攻击中Windows远程桌面被暴力破解占比达40%，强调安全事件响应人员应掌握这一基本技能。 综合评分： 81 文章分类： 应急响应,网络安全,漏洞分析,终端安全,日志分析

Windows远程桌面暴力破解痕迹之日志ID

原创

MicroPest

MicroPest

2022年6月18日 17:29 安徽

这段时间碰到勒索病毒的事情有点多。查了下资料，发现近两年来勒索过程中Windows远程桌面被暴力破解的占比达到40%，勒索手段中排名第一。这不是本文的重点，我想表达的是：到达现场后，我们如何在windows日志中一眼快速找到远程暴力破解的痕迹，从而确认系暴力破解造成。

    对勘验人员来说，这是基本功，应该都非常熟悉，我写这有点多此一举了。原本没想写这个，只是在最近出过几次现场后，觉得有必要总结一下，作为一个点提炼出来，分享给大家，加快排查速度，让受难客户对我们警方的专业能力更赞叹一些。

    言归正传。我们要关注的是windows事件日志的ID为4625(登录失败)的情况。

Windows 事件日志中，它记录为事件ID=4625表示失败，记录为事件ID=4624表示成功。

一、日志举例

完整的日志非常冗长，如下所示：

2022/06/04 02:53:09 WinEvtLog: Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: no_user: no_domain: Windows-Test1: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: AZUREUSER Account Domain: ? Failure Information: Failure Reason: %%2313 Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: - Source Network Address: 164.92.82.228 Source Port: 0 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted.

您可以忽略该日志中的大部分内容。重要的部分是：

| 属性 | 描述 | | — | — | | 审计失败（4625）： | 这是事件 ID 4625 的审核失败。 | | 登录类型：3： | 登录类型 3 表示这是一次远程登录尝试。 | | 帐户名称：AZUREUSER | 那是用户尝试过的（AZUREUSER）。 | | 源网络地址：164.92.82.228 | 攻击者使用的IP地址。 |

如果您在 Windows 日志中看到此事件 ID (4625)，请特别注意登录类型。某些服务和内部应用程序可以使用登录类型 4 或 5 记录故障，这很常见，不是远程攻击的一部分。另一方面，登录类型 2 表示有人在计算机上实际登录。这是每个登录类型的快速备忘单：

| 登录类型 | 描述 | | — | — | | 2 | 交互式 – 用户无法本地登录到计算机 – 物理访问。 | | 3： | 远程 – 用户无法远程登录计算机 – 远程访问。 | | 4 | 批处理 – 批处理程序（进程）无法登录。 | | 5 | 服务 – 服务登录失败。 | | 7 | 解锁 – 用户尝试解锁计算机时密码失败。 | | 8 | NetworkCleartext – 远程登录失败并通过明文尝试。 | | 9 | NewCredentials – 用户未能为新凭据克隆其登录令牌。 | | 10 | NewCredentials – 用户未能为新凭据克隆其登录令牌。 | | 11 | CachedInteractive – 用户使用本地存储在计算机上的网络凭据登录失败。 |

特别注意类型 3，它用于远程登录。另请注意，当您通过 RDP 远程登录（或登录失败）时，它使用登录类型 3，而不是登录类型 10（即使文档说它将是类型 10）。

二、命令行提取

1、查看登录成功的：

wevtutil qe security /q:”*[EventData[Data[@Name=’LogonType’]=’10’] and System[(EventID=4624)]]” /f:text /rd:true /c:10

2、查看登录失败的：

wevtutil qe security /q:”*[EventData[Data[@Name=’LogonType’]=’3′] and System[(EventID=4625)]]” /f:text /rd:true /c:10

通过以上两条命令，可以快速地罗列出登录情况。尤其是暴力破解造成的登录失败。

好了，没什么技术含量，只是一点总结。