在我的域中,我有一台虚拟机,我可以看到一个未知来源正在不断尝试进行身份验证。
我可以通过阻止虚拟机本地防火墙上的 RPC 端口来阻止它,但这给我带来了很多麻烦。
当我检查我的netlogon.log文件时,它看起来像这样用于管理员注销
11/29 13:47:32 [LOGON] [4100] 公司:SamLogon:通过 (null)\ADMINISTRATOR 的传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 13:49:36 [LOGON] [5364] 公司:SamLogon:通过 (null)\ADMINISTRATOR 的传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 13:52:32 [LOGON] [6436] 公司:SamLogon:通过 WIN-L1JIA2E591R 的传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 13:52:40 [LOGON] [6436] 公司:SamLogon:从 'MyPCHostname' 传递网络登录 TRENDSALES\Zucchini(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:02:34 [LOGON] [5364] 公司:SamLogon:从 (null)\ADMINISTRATOR 传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:04:16 [LOGON] [1216] 公司:SamLogon:从 WIN-L1JIA2E591R 传递网络登录 (null)\Administrator(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:14:34 [LOGON] [5364] 公司:SamLogon: (null)\ADMINISTRATOR 的传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:16:02 [LOGON] [5364] 公司:SamLogon:(null)\Administrator 的传递网络登录来自 WIN-L1JIA2E591R(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:18:11 [LOGON] [3628] 公司:SamLogon:(null)\ADMINISTRATOR 的传递网络登录(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:27:50 [LOGON] [5364] 公司:SamLogon:(null)\Administrator 的传递网络登录来自WIN-L1JIA2E591R(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:33:47 [LOGON] [2244] 公司:SamLogon:通过传递网络登录 (null)\ADMINISTRATOR(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:37:41 [LOGON] [892] 公司:SamLogon:通过传递网络登录 (null)\ADMINISTRATOR(通过 MyVirtualMachineHostname)返回 0xC000006A 11/29 14:41:18 [LOGON] [7012] 公司:SamLogon:通过传递网络登录 (null)\Administrator(通过 WIN-L1JIA2E591R(通过MyVirtualMachineHostname) 返回 0xC000006A
它还会尝试输入大量随机用户名,如下所示:
11/29 14:28:12 [LOGON] [3884] 公司:SamLogon:通过 FreeRDP 的 (null)\RCSSupport 传递网络登录(通过 MyVirtualMachineHostname)返回 0xC0000064 11/29 14:28:16 [LOGON] [3884] 公司:SamLogon:通过 FreeRDP 的 (null)\RCSSupport 传递网络登录(通过 MyVirtualMachineHostname)返回 0xC0000064 11/29 14:28:35 [LOGON] [7120] 公司:SamLogon:通过 FreeRDP 的 (null)\pos 传递网络登录(通过 MyVirtualMachineHostname)返回 0xC0000064 11/29 14:28:47 [LOGON] [4436] 公司: SamLogon: 从 FreeRDP (通过 MyVirtualMachineHostname) 进行 (null)\pos 的传递网络登录返回 0xC0000064 11/30 11:53:04 [LOGON] [3048] 公司:SamLogon:从 (通过 MyVirtualMachineHostname) 进行 (null)\MSSQLSERVER 的传递网络登录返回 0xC0000064 11/30 11:54:19 [LOGON] [3048] 公司:SamLogon:从 (通过 MyVirtualMachineHostname) 进行 (null)\IUSR_QA 的传递网络登录返回 0xC0000064
我如何找出这些尝试的来源?主机名似乎被欺骗了?
我也不确定问题是否是机器上的恶意软件MyVirtualMachineHostname,或者我是否正在寻找网络上受感染的计算机。
答案1
首先,找出正在使用的 TCP(和/或 UDP)端口。我猜是 TCP 端口 135,但我相信 RPC 可能比较棘手,可能会使用其他端口。如果您的防火墙允许您通过指定某些规则来禁用这些端口,请查看这些规则以了解涉及哪些端口。
然后,查找活动连接。一种方法是通过命令行。以下是传统命令行的命令:
netstat -na
netstat -na | find /i "135" | more
(如果使用 PowerShell,则需要在每个引号前添加一个反勾/引号。)
另一种方法:在 Windows 10 中(可能早在 Vista 中?),右键单击任务栏,选择任务管理器。在“性能”选项卡上,单击“资源管理器”。 (或者,可能还有其他方法可以访问该资源管理器。)转到“网络”选项卡,然后展开“TCP 连接”部分(首选)。或者,如果涉及 UDP,“侦听端口”部分可能会有更多信息。
这样做的目的是开始识别攻击者的 IP 地址。一旦有了 IP 地址,除非开始与该机器交互,否则您可能无法获得更多信息。(您可能需要该机器的权限才能找到更多详细信息。)好吧,您可以通过嗅探网络连接(例如,使用 TCPDump 或更图形化的 Wireshark)来获取更多信息,但您最好尝试使用该机器(通过它的键盘,或通过远程管理工具,如计算机管理或 WMIC)。
如果远程 IP 地址是环回(对于 IPv4,以“127.”开头;对于 IPv6,以“::1”开头),那么您可能会有两个条目(一个用于传出连接,一个用于接收连接)。在这种情况下,请netstat -nab从命令提示符运行。确保命令提示符已提升权限(如果您启用了 UAC)。这将为您提供一个 PID,可用于识别正在使用的本地程序。为此,请从提升权限的命令提示符中使用:
WMIC PROCESS GET Name,ProcessID /FORMAT:LIST
(再次,PowerShell 用户在逗号前放置一个反勾。)(有关更多信息,请省略“Name,ProcessID”部分。)对于特定的 ProcessID/PID,例如 12345,您可以使用:
WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"