공격자가 시스템의 보안 이벤트 로그를 조작하거나 삭제하는 것이 점점 더 보편화되고 있으며, 상황에 따라 RDP 세션이 유형 10 로그온으로 이벤트 기록되지 않는 경우도 있다. RDP 활동은 다양한 프로세스가 관련될 때 여러 다른 로그에 이벤트로 기록된다.
1. 이벤트 ID, 이벤트 ID 설명 및 이벤트 사양
2. 이유 코드
3. RDP 성공
RDP 성공의 경우 아래 표에서 이벤트 ID 4624 로그온 유형을 참조하여 로그온 서비스/모드를 식별
4. RDP 실패
RDP 실패의 경우 아래 표에서 이벤트 ID 4625 상태 코드를 참조하여 로그온 실패 이유를 확인
5. Reference
https://ponderthebits.com/category/remote-desktop/
https://community.spiceworks.com/topic/764914-remote-desktop-services-disconnect-code?page=1#entry-5456587
https://frsecure.com/blog/rdp-connection-event-logs/
http://woshub.com/rdp-connection-logs-forensics-windows/
https://docs.rackspace.com/support/how-to/rds-client-disconnected-codes-and-reasons/
https://jpcertcc.github.io/ToolAnalysisResultSheet/
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625
'Security Incident Analysis' 카테고리의 다른 글
| [Windows] OpenSaveMRU 분석 (0) | 2022.11.21 |
|---|---|
| 이메일 발신자 IP 추적 방법 (0) | 2022.02.18 |
| [Linux] Linux 로그 디렉터리 및 파일 목록 (0) | 2022.01.13 |
| [Windows] Windows 주요 프로세스 분석 (0) | 2022.01.12 |