4625事件分析：深入了解攻击者的密码爆破策略

有效进行账户和密码暴力破解的一个有趣之处在于，攻击者需要具备对目标、账户、密码的先验知识，或者至少需要了解目标的操作方式和位置的高级信息。在喷洒攻击中，大多数账户名往往是日常组合，如管理员、经理、接待、财务等。然而，我们有时会看到更具体的账户名使用情况，这通常发生在攻击者以某种方式捕获或识别了先前暴露的凭据时。

4625安全事件是观察针对配置不当的RDP服务的账户和密码喷洒攻击的绝佳场所。不幸的是，发生此类攻击的系统通常配置不当。这意味着日志记录通常不会超过Windows默认的保留期限，我们唯一可能查找更多日志的地方是备份（如果存在的话）。

然而，如果我们识别出暴力破解活动，并且能够访问足够久远的日志，我们或许能够从中提取一些极其有用的信息。

在归因分析方面，我们可能会花费大量时间寻找已知域或本地账户被攻击者入侵和使用的证据。仅关注这些要素有时可能会让我们忽略明显的信息。

在初始日志审查期间，我喜欢做的一件事是花时间滚动查找数据中的任何异常、模式或共性。正如我之前提到的，在RDP暴力破解攻击中出现的账户名大多倾向于标准的预期账户名，有时还混合了其他语言（如西班牙语、法语或德语）的账户名。

我们见过哪些可能提供攻击者更多信息的账户名类型？

• 使用公司拥有的特定外部域名（trump@trumptowers.com）
• 使用公司用户的邮件账户名（donald.trump@trumptowers.com）
• 使用环境中的命名用户（donald.trump）
• 使用同一国家外部公司拥有的外部域名或邮件地址（barack@obamacare.com）
• 使用其他国家外部公司拥有的外部域名或邮件地址（barack@obamacare.co.uk）

这一切意味着什么？

我们应该始终尝试从调查的具体细节中抽身，采取整体视角。这可能会让我们对攻击者对公司的整体了解、一般能力以及基于其单词列表的攻击者整体复杂程度有一些有用的洞察。最后，通过审查，您还可能识别出第三方系统的潜在入侵，这可能会引发一些有趣的法律讨论。

感谢阅读，祝日志分析愉快！