NLBrute with Event Logs

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.

* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 junhyeong.lee@plainbit.co.kr 메일로 연락 주시면 감사하겠습니다.
This post is so simple, If you are interested contact to me(junhyeong.lee@plainbit.co.kr)

TIP!

본 내용은 내부 발표 자료 중 일부를 발췌 한 것입니다.
This is an excerpt of some of the internal presentation materials.

NLBrute 도구는 일부 공격자들이 주로 사용하는 원격 데스크톱 무차별 대입 공격 도구입니다.
The NLBrute tool is a brute-force attack tool for remote desktop protocol.

본 글에서는 해당 도구를 사용했을 때 생성되는 원격 데스크톱 관련 이벤트 로그를 실험하여 정리했습니다. (일반적인 원격 데스크톱 접속 흔적과는 다소 차이가 있습니다.)
In this article, we have experimented with and organized the Remote Desktop Event Log, which is generated when the tool is used. (It is somewhat different from the normal trace of a Remote Desktop connection.)

  1. 윈도 10 운영체제의 경우 원격 데스크톱 로그온을 성공했을 경우 로그온 타입이 10이 아닌 3과 7이 기록되었습니다. 로그온되어 있는 계정에 원격 데스크톱 연결이 진행될 경우 로그온 타입 3이 기록되었고, 로그오프 상태에서 원격 데스크톱 연결이 진행될 경우 로그온 타입 3과 7이 기록되었습니다.
    For Windows 10 operating systems, if the remote desktop logon was successful, the logon types 3 and 7 were logged, not 10. Logon type 3 was logged if the remote desktop connection was in progress on the logged-on account, and logon types 3 and 7 were logged if the remote desktop connection was in the logoff state.

  1. 로그온을 실패할 경우, 대부분의 윈도 버전에서는 로그온 타입 3이 기록되어 일반적인 네트워크 로그온과 구분하기가 어렵습니다. 원격 데스크톱 연결 시도를 구분하기 위해서는 “RemoteSessionManager” 이벤트 로그를 교차 분석해야 합니다.
    If a logon fails, most Windows versions record logon type 3, making it difficult to distinguish it from a typical network logon. To distinguish between remote desktop connection attempts, you should cross-analyze the "RemoteSessionManager" event log.

* 본 실험은 정현우 연구원과 함께 진행했습니다.
This experiment was conducted with Analyst Chung Hyeon-woo.

You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.