事件4624是登录成功!?!真的如此吗?

已于 2022-07-18 20:52:17 修改
阅读量8.1k 收藏 5
点赞数 18
分类专栏: 应急响应 红蓝攻防 文章标签: 服务器 运维 应急响应 4624
于 2022-07-08 17:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43510203/article/details/125682172
版权

文章目录

1.概述

1.1 案例

先来看两张图:
在这里插入图片描述
在这里插入图片描述看到这两张图的第一印象应该是这是一个成功的登陆,其类型为3,代表网络登陆,4624表示成功登陆,可能大部分人都是如此认为。
那么实际上呢?这里面是存在一定歧义的,今天给大家同步一下这里面的详细细节。

1.2 原理

当用户使用SMB 协议连接时,在提示用户输入密码之前,其会使用anonymous用户(也就是匿名用户)进行 SMB 网络连接,一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志:

登陆用户为anonymous
登录进程为NTLMssp
使用协议为NTLM V1
登陆协议为SMB

2. 测试

了解本专栏 订阅专栏 解锁全文 超级会员免费看
溯源系列:溯源案例一
weixin_54626591的博客
01-06 1766
溯源案例一
Windows安全日志分析(事件ID详解)
墨痕诉清风的博客
09-19 1万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
Windows2008系统安全日志分析
安了的笔记
05-25 9343
Windows2008系统安全日志分析 1、IPC连接成功后会生成一个事件ID4624的安全事件,示例如下: 已成功登录帐户。 主题:     安全 ID:        NULL SID     帐户名:        -     帐户域:        -     登录 ID:        0x0 登录类型:            3 新登录:   
日志事件ID
m0_62207482的博客
04-19 1399
日志排查时,通常会根据事件ID搜索日志。4672:新登录的用户被分配管理员权限。4648:使用显式凭证尝试登录。4647:注销远程登录的用户。4634:注销本地登录用户。4732:添加用户到用户组。4733:从组中删除用户。4798:枚举本地用户组。4724:修改用户密码。4734:删除用户组。4738:修改用户账户。4722:启用新用户。4731:创建用户组。4735:安全组更改。
Windows安全事件ID汇总
钻石
04-12 7481
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
计算机设id地址安全性,Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效...
weixin_42191359的博客
07-22 2234
Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效09/14/2020本文内容本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pa...
Windows安全日志深度解析:EventID 4624登录事件的自动化监控与风险评估
wddxwdwl的博客
04-12 827
powershell复制xmlxml.ToXml()Time = $重点关注类型:3:网络登录(如共享文件夹访问)10:远程交互登录(RDP)8:网络明文登录(HTTP基本认证)2. 检查登录账户如果所有登录均为SYSTEM或NETWORK SERVICE,可能是系统服务行为。若出现非常用账户(如Guest、陌生用户名),需警惕入侵。3. 验证来源IP同一IP高频登录:可能是自动化工具或攻击。多个不同IP登录:可能遭遇分布式攻击。
windows安全事件查看及安全事件id汇总
weixin_60530860的博客
11-15 6780
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
【Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 4万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
windows终端事件日志监控指南
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
UOS Desktop/server v20 初始化配置及维护指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-06 2704
因现场OS与厂商应用不兼容,且鉴于信创国产化要求,替换目标系统选用:UOS Desktop 20,基于此,本文将记录下UOS(Uniontech OS)下系统初始化配置及VGPU NVIDIA-Linux先看驱动安装过程,用以指导相关同学参考借鉴!关联资源官网Uos开发者模式权限申请官方 Nvidia 显卡驱动常见问题信创国测目录。
蓝队必备技能——windows后门病毒应急响应
2301_80115097的博客
04-24 994
大家好 我是spider。今天出一期应急响应。hw在即你还是初级?学习一下子吧 兄弟,我给大家整实际案例上去本期木有太多废话 都是干活 直接上思路和步骤。
Windows安全日志7关键事件ID分析
ICT系统集成阿祥
09-26 2812
背景Windows日志里的事件分析有助于在系统出现异常时分析出异常原因,利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件,分析这些事件的具体原因,希望对系统运维工程师们有一定的帮助!具体事件ID1、事件ID 1116作用:意为反恶意软件平台检测到恶意软件或其他可能不需要的软件检测源:如:①用户:用户已启动②系统:系统启动③实时:实时组件已启动④IOAV:已启动 IE 下载...
windows日志查看安全事件ID对照表
疯狂小伟哥的博客
09-19 1万+
【代码】windows日志查看安全事件ID对照表。
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 566
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
Windows 系统入侵排查
qq_73611706的博客
12-05 1785
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,系统运维人员可以根据以上异常情况来知道攻击者从何处入侵、攻击者以何种方式入侵以及攻击者在入侵后做了什么这几个问题的答案,从而为之后的系统加固、安全防护提供针对性建议。安全日志也是调查取证中最常用到的日志。
精准识别违规登录:Windows事件ID 4624全维度分析手册
最新发布
Liu_Bruce的博客
04-23 513
表示成功登录,但需结合其他信息判断是否为违规登录。通过以上多维度的交叉验证,可以更准确地判断4624事件是否违规。在Windows安全日志中,事件ID。,需结合上下文行为分析。
windows入侵痕迹排除
weixin_46164380的博客
12-09 749
一、 1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。 2.查看网络连接 netstat -ano 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。 注:对这种外网ip进行威胁情报查询 3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。 二、查看铭感目录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sumarua

创作不易,大爷给个鼓励吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值