[AD] Reaper NBNS+LLMNR+Logon 4624+Logon ID
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
本文讨论了一起网络攻击事件,攻击者通过LLMNR投毒和SMB链接获取多个工作站的凭证,导致恶意访问和账户被盗。
🎯
关键要点
- 攻击者通过LLMNR投毒和SMB链接获取多个工作站的凭证。
- 被盗账户的用户名为arthur.kyle。
- 攻击者使用的未知设备IP地址为172.17.79.135。
- 恶意登入发生在工作站FORELA-WKSTN002,来源IP为172.17.79.135。
- 恶意登入时间为2024年7月31日04:55:16 UTC。
- 攻击者在身份验证过程中访问的共享名称为\*\
- LLMNR投毒成功后,Forela-Wkstn002与攻击者进行SMB链接。
❓
延伸问答
攻击者是如何获取工作站凭证的?
攻击者通过LLMNR投毒和SMB链接获取多个工作站的凭证。
被盗账户的用户名是什么?
被盗账户的用户名为arthur.kyle。
恶意登入发生在哪个工作站?
恶意登入发生在工作站FORELA-WKSTN002。
攻击者使用的未知设备的IP地址是什么?
攻击者使用的未知设备IP地址为172.17.79.135。
恶意登入的时间是什么时候?
恶意登入时间为2024年7月31日04:55:16 UTC。
攻击者在身份验证过程中访问了哪个共享名称?
攻击者在身份验证过程中访问的共享名称为\*\IPC$。
➡️
