1. 概述
1.1 案例
先来看两张图: 看到这两张图的第一印象应该是这是一个成功的登陆,其类型为3,代表网络登陆,4624表示成功登陆,可能大部分人都是如此认为。 那么实际上呢?这里面是存在一定歧义的,今天给大家同步一下这里面的详细细节。
1.2 原理
当用户使用SMB 协议连接时,在提示用户输入密码之前,其会使用anonymous用户(也就是匿名用户)进行 SMB 网络连接,一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志:
2. 测试
2.1 SMB连接失败情况
2.1.1 找不到网络名/拒绝访问
直接使用net use发起一个针对不存在的aaa$的连接,会报错找不到网络名,使用net use也可以看到其连接并没有成功:
但是我们来看看日志,可以看到其产生了一条4624类型3的成功登陆的日志,这个仅仅表示使用anonymouse用户成功登录网络
使用正确的目录路径,但不输入用户会报错拒绝访问,该状态同样会导致一个匿名用户的登录成功 类型3
2.1.2 用户名或密码不正确
使用不正确的账密登录时,会报错用户名或密码不正确。
这种情况在日志中就不会出现匿名登录登录成功日志,而是直接显示4625日志,当然也显示了登录的用户名。 
2.2 SMB登录成功
如果使用正确的账密进行登录的话在日志中的表现是如何呢? 除类型3的登录成功以外,还会有4776(验证凭据)和4672(登录权限分配)的shijian
3. 总结
当攻击者使用SMB进行连接时,若访问路径不存在或账号不存在时将产生anonymous用户(匿名用户)的登录类型3的4624日志,并非代表机器失已经被登录。
4624不一定是攻击者登陆成功,要结合ip字段、targetuser字段、还有user等诸多字段并且看日志上下文,system授权有时候也会产生4624的高告警(上述字段仅表示含义,具体字段名称复杂记不清)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
