TerminalServices-RemoteConnectionMnager
Event ID : 1149
설명 : 사용자 인증 성공
이 이벤트는 로그인에 성공한 것이 아님.
원격에서 사용자가 RDP연결을 시도하고 연결에 성공하여 로그인창이 떴을때 나오는 이벤트임.
ex) mstsc > IP입력 > 로그인창
TerminalServices-LocalSesstionManager
Event ID : 25
설명 : 세션 재연결 성공
출발지 IP에서 세션을 재연결하는데 성공함. 로그인 성공
========================================================================================
[RDP Brute Force 공격 도구 사용하여 로그인 성공시 이벤트 로그의 변화]
TerminalServices- Security Security TerminalServices-LocalSesstionManager
RemoteConnectionMnager
261 > 4672 > 4624 > 1149
1. 브루트포스 도구로 로그인을 시도할 경우 성공하든 실패하든 RDP리스너 EventID 261이 기록된다.
2. 새로운 계정에 특수권한을 수행하게 되는데 EventID 4672, 로컬 시스템 계정의 모든 로그온이 이 이벤트를 트리거하여 여러번 수행될 수 있음.
3. 다음으로 성공적으로 로그온 EventID 4624 로그가 기록된다.
4. 마지막으로 RDP 사용자 인증 성공 이벤트 EventID 1149 가 기록된다.
=====================================================================================
[mstsc로 로그인 성공시 이벤트 로그의 변화]
261 > 4672 >4624 > 261 > 1149 > 25(세션재연결성공)
브루트포스 도구와 다르게 261 로그가 2번 수행되는 것을 알 수 있음.
시큐리티 로그기록이 남아있지 않을경우 TerminalServices-RemoteConnectionMnager, TerminalServices-LocalSesstionManager 로그의
261>261>1149>25 의 패턴을 확인
EventID 25는 RDP 성공 이후, 네트워크 등 일시적인 장애 및 끊김이 발생할 때 별도 인증절차 없이 재연결된 경우이므로 25번 이벤트가 존재하면 그 전에 로그인에 성공한 것이다.
=====================================================================================
[RDP Brute Force 공격 도구 사용하여 로그인 실패시 이벤트 로그의 변화]
TerminalServices- Security ㅣRemoteConnectionMnager
261 > 4625
=====================================================================================
[RDP 세션끊김 이벤트 로그의 변화 (윈도우창 X버튼 눌렀을때)]
4634 > 40 > 24
=====================================================================================
[RDP 세션끊김 이벤트 로그의 변화 (윈도우창 X버튼 눌렀을때)]
39 > 40 > 4634 >24
'로그' 카테고리의 다른 글
| 방화벽 로그 분석 (FW Analysis) (0) | 2025.02.05 |
|---|---|
| 몽고DB 쿼리 조회 (MongoDB Query) (0) | 2023.04.25 |
| 팀뷰어 로그 분석 (TeamViewer Log Analysis) (0) | 2023.02.22 |
| 애니데스크 접속 기록 (Anydesk log) (0) | 2022.10.01 |
댓글