안녕하세요.
운영중인 서버에 누군가 mimikatz 해킹도구를 설치하여 정보추출 시도한걸 확인했습니다.
123.txt라는 파일이 사이즈가 커져서 알게되었고, 추출파일 내용을 근거로 확인해보니 mimikatz라는 해킹도구를 사용한거로 확인되었습니다.
누군가 서버에 접속한거 같은데... 윈도우 2012 서버 이벤트뷰어에 source network address : 에 IP가 나오지가 않네요...
어떤 방식으로 접근경로나 접속 IP등을 확인해볼 수 있을가요?
조언 부탁드리겠습니다.
감사합니다.
ÀÀ¿ë ÇÁ·Î±×·¥ ¹× ¼ºñ½º·Î±× - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational ÇØ´ç °æ·Î¿¡¼ Á¢±ÙÇÑip¸¦ È®ÀÎÇϽǼö ÀÖ½À´Ï´Ù.
ÇÏÁö¸¸ ÀÌ À̺¥Æ® ·Î±×´Â RDP ¸¦ »ç¿ëÇßÀ»¶§, Á¢¼ÓÇÑ ±â·ÏÀ» º¸´Â À̺¥Æ® ·Î±×À̸ç, RDP°¡ ¾Æ´Ñ ´Ù¸¥ ¹æ½ÄÀ¸·Î Á¢±ÙÇß´Ù¸é,
´Ù¸¥ ·Î±×¸¦ È®ÀÎÇÏ¼Å¾ß ÇÕ´Ï´Ù.
´ëÇ¥ÀûÀ¸·Î Teamviewer, RDP, ´Ù¸¥ ¿ø°Ý ¼Ö·ç¼ÇÀ» ÀÌ¿ëÇÑ°ÍÀ¸·Î º¸À̴µ¥, Ä¿¸Çµå·Î Á¢±ÙÇÑ °æ¿ìµµ ¹èÁ¦ÇÒ¼ö ¾ø¾î, »ó¼¼È÷ È®ÀÎÇغ¸½Ã´Â°É Ãßõµå¸³´Ï´Ù.
mimikatz °ü·Ã ÆÄÀÏ »ý¼ºÀϽø¦ È®ÀÎÇÏ¿´½À´Ï´Ù.
ÇÏ¿© ¿ø°ÝÁ¢¼Ó ÀÌ·Â È®ÀÎÇÏ¿´´Âµ¥, ¸»¾¸ÁֽŠTerminalService-LocalSessionManager¿¡ ±ÙÁ¢½Ã°£¿¡ Á¢¼ÓÀÌ·Â ·Î±×°¡ ÀÖ½À´Ï´Ù.
±×·±µ¥, Source Network Address : <-- À̺κÐÀÌ °ø°£À¸·Î µÇ¾î ÀÖ½À´Ï´Ù... È®ÀÎÇغ¸´Ï ÀüºÎ´Ù IP Á¤º¸°¡ ¾ø½À´Ï´Ù. ¼¹ö ¹®Á¦ÀÎÁö... ³°¨ÇÕ´Ï´Ù. ¤Ì.¤Ì
ÀÏ´Ü ¹¹°¡ ½É°å´ÂÁö Á¤È®ÇÏ°Ô È®ÀÎÇغ¸½Ã°í, °èÁ¤ »ý¼º¸»°í º¯Á¶µÈ°Ô ÀÖ´ÂÁö È®ÀÎÇغ¸¼¼¿ä
ÆÐÅÏÀ» È®ÀÎÇÏ¸é ´ëÃæ ¾î¶»°Ô °ø°ÝÇß´ÂÁö ã¾ÆÁö´Â °æ¿ì°¡ ¸¹½À´Ï´Ù