远程连接日志关注 RemoteInteractive(10) 和CachedRemoteInteractive(12)表明使用了 RDP ,因为这些登录类型专用于RDP
使用。
计划任务和 AT
关注的事件 ID
4624:账户成功登录
计划任务事件 Microsoft-Windows-TaskScheduler/Operational.evtx,计划任务 ID 含义:
100:任务已开始
102:任务完成
106:已注册任务(关注点)
107:在调度程序上触发任务
110:用户触发的任务
129:创建任务流程(推出)
140:任务已更新
141:任务已删除
200:运行计划任务
325:启动请求排队
统一后台进程管理器(UBPM)
服务控制管理器 - 管理 Windows 服务
任务计划程序 - 管理 Windows 任务
Windows Management Instrumentation - 管理 WMI 供应商
DCOM Server Process Launcher - 管理进程外 COM 应用程序
PSExec
PSExec是系统管理员的远程命令执行工具,包含在“Sysinternals Suite”工具中,但它通常也用于针对性攻击的横向移动。
PsExec的典型行为
在具有网络登录(类型3)的远程计算机上将 PsExec 服务执行文件(默认值:PSEXESVC.exe)复制到 % SystemRoot% 。
如果使用 -c 选项,则通过 $Admin 共享将文件复制到 %SystemRoot% 执行命令。
注册服务(默认值:PSEXESVC),并启动服务以在远程计算机上执行该命令。
停止服务(默认值:PSEXESVC),并在执行后删除远程计算机上的服务。
PSExec选项的重要选项:
-r
更改复制的文件名和远程计算机的服务名称
(默认值:%SystemRoot%\ PSEXESVC.exe和PSEXESVC)
-s
由SYSTEM帐户执行。
-C
将程序复制到远程计算机
被复制到Admin$(%SystemRoot%)
-u
使用特定凭据登录到远程计算机
生成登录类型2和登录类型3 的事件
可以从 System.evtx 中查找事件 ID 7045 发现 PSExec,相关的事件 ID
Security.evtx
4624:帐户已成功登录
Ssystem.evtx