ÇØÅ·, À©µµ¿ì°èÁ¤ »ý¼º, mimikatz, Á¤º¸ÃßÃâ °ü·Ã ÃßÀû¹æ¹ý ¹®Àǵ帳´Ï´Ù.

IÀû¿ì   
   Á¶È¸ 1500   Ãßõ 0    

 안녕하세요.


운영중인 서버에 누군가 mimikatz 해킹도구를 설치하여 정보추출 시도한걸 확인했습니다.

123.txt라는 파일이 사이즈가 커져서 알게되었고, 추출파일 내용을 근거로 확인해보니 mimikatz라는 해킹도구를 사용한거로 확인되었습니다.


누군가 서버에 접속한거 같은데... 윈도우 2012 서버 이벤트뷰어에 source network address : 에 IP가 나오지가 않네요... 


어떤 방식으로 접근경로나 접속 IP등을 확인해볼 수 있을가요? 


조언 부탁드리겠습니다.

감사합니다.

ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
system32 2022-08
µðÁöÅÐÆ÷·»½Ä °ü·Ã ÀÚ°ÝÀ» º¸À¯ÇÏ°í ÀÖ´Â ÇлýÀÔ´Ï´Ù.
ÀÀ¿ë ÇÁ·Î±×·¥ ¹× ¼­ºñ½º·Î±× - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational ÇØ´ç °æ·Î¿¡¼­ Á¢±ÙÇÑip¸¦ È®ÀÎÇϽǼö ÀÖ½À´Ï´Ù.

ÇÏÁö¸¸ ÀÌ À̺¥Æ® ·Î±×´Â RDP ¸¦ »ç¿ëÇßÀ»¶§, Á¢¼ÓÇÑ ±â·ÏÀ» º¸´Â À̺¥Æ® ·Î±×À̸ç, RDP°¡ ¾Æ´Ñ ´Ù¸¥ ¹æ½ÄÀ¸·Î Á¢±ÙÇß´Ù¸é,
´Ù¸¥ ·Î±×¸¦ È®ÀÎÇÏ¼Å¾ß ÇÕ´Ï´Ù.

´ëÇ¥ÀûÀ¸·Î Teamviewer, RDP, ´Ù¸¥ ¿ø°Ý ¼Ö·ç¼ÇÀ» ÀÌ¿ëÇÑ°ÍÀ¸·Î º¸À̴µ¥, Ä¿¸Çµå·Î Á¢±ÙÇÑ °æ¿ìµµ ¹èÁ¦ÇÒ¼ö ¾ø¾î, »ó¼¼È÷ È®ÀÎÇغ¸½Ã´Â°É Ãßõµå¸³´Ï´Ù.
     
IÀû¿ì 2022-08
¾È³çÇϼ¼¿ä, ´äº¯ °¨»çµå¸³´Ï´Ù.
mimikatz °ü·Ã ÆÄÀÏ »ý¼ºÀϽø¦ È®ÀÎÇÏ¿´½À´Ï´Ù.
ÇÏ¿© ¿ø°ÝÁ¢¼Ó ÀÌ·Â È®ÀÎÇÏ¿´´Âµ¥, ¸»¾¸ÁֽŠTerminalService-LocalSessionManager¿¡ ±ÙÁ¢½Ã°£¿¡ Á¢¼ÓÀÌ·Â ·Î±×°¡ ÀÖ½À´Ï´Ù.
±×·±µ¥, Source Network Address :  <-- À̺κÐÀÌ °ø°£À¸·Î µÇ¾î ÀÖ½À´Ï´Ù... È®ÀÎÇغ¸´Ï ÀüºÎ´Ù IP Á¤º¸°¡ ¾ø½À´Ï´Ù. ¼­¹ö ¹®Á¦ÀÎÁö... ³­°¨ÇÕ´Ï´Ù. ¤Ì.¤Ì
dateno1 2022-08
ÀÏ´Ü RDP°°Àº°É·Î Á¢±Ù ¾È ÇÏ¸é ·Î±×¿¡ ¾È ³²¾Æ¿ä (ÀÌÁ¶Â÷ °èÁ¤ »ý¼º °¡´ÉÇÒÁ¤µµ ±ÇÇÑ ¾òÀº »óŶó¸é »èÁ¦ °¡´É)

ÀÏ´Ü ¹¹°¡ ½É°å´ÂÁö Á¤È®ÇÏ°Ô È®ÀÎÇغ¸½Ã°í, °èÁ¤ »ý¼º¸»°í º¯Á¶µÈ°Ô ÀÖ´ÂÁö È®ÀÎÇغ¸¼¼¿ä

ÆÐÅÏÀ» È®ÀÎÇÏ¸é ´ëÃæ ¾î¶»°Ô °ø°ÝÇß´ÂÁö ã¾ÆÁö´Â °æ¿ì°¡ ¸¹½À´Ï´Ù


QnA
Á¦¸ñPage 470/5696
2014-05   5030084   Á¤ÀºÁØ1
2015-12   1566635   ¹é¸Þ°¡
03-18   2061   dragoune
2023-09   2061   227skt
2023-10   2061   »ßµ¹À̽½ÇÄÀÌ
2023-09   2061   ÅäÇǾÆ887
2021-10   2061   Æ®´Ï¾Æºü
2023-05   2062   popokj
2023-07   2062   »õ³»±â
2023-05   2062   AplPEC
2022-09   2062   °Ü¿ï³ª¹«
2021-08   2062   ³ªÆÄÀÌ°­½ÂÈÆ
2020-03   2062   ±¸½ÊÆò
2023-06   2062   ½½·çÇÁ
2022-10   2063   lenux8
2023-03   2063   °õµ¹Âô
2023-04   2063   ¹üÀÌ´Ô
2022-11   2063   ¸Ó¶óÄ«´Âµ¥
2022-04   2064   2CPUI±è¼¼ÈÆ
2022-08   2064   epowergate
2019-04   2064   ´õºí·Î
2022-12   2064   ParkB7