【EDR】内网终端大量暴力破解告警排查

每天学习一点点，每天进步一点点

有分析结果不，这块的检测感觉不太准

1、问题背景

客户反馈EDR上有大量 暴力破解的告警，攻击源IP都是内网电脑，查杀没有任何病毒

2、排查过程

①跟客户确认目的服务器是邮件服务器，但是没有开放445等SMB端口。

测试smb的445端口是不通的

②服务器上查看事件日志，确实能对应，登录类型3就是smb

③感觉这个可能是邮件登录失败，被记录到登录类型3  smb类型了。叫客户跟邮件服务供应商确认一下。

④同时百度查到相关案例，参考链接https://www.cnblogs.com/Zbuxu/p/13392367.html

难道是这个邮件登录也会被认为是网络层登录，记录到smb爆破里面？EDR就是分析服务器的安全日志来产生告警的。

⑤查看同样其它告警的爆破的目标服务器，都是同样登录类型，这个验证凭据的时候，也产生了一个4625 类型3的审核失败。参考链接：https://learn.microsoft.com/en-u ... edential-validation

⑥windows安全日志记录了登录类型3的失败日志，所以edr提示被爆破了。通过百度有好几种情况 不一定是开放了smb服务。

询问客户服务器上如果不需要NTLM 就关掉测试。客户反馈使用outlook邮箱保存密码的时候，用的就是ntlm。

3、排查结果

①EDR暴力破解告警目前是根据事件登陆类型来匹配，类型3代表SMB，类型10代表RDP。但是产生类型3的行为有挺多种，EDR暂时不能深入区分

②该场景可以针对这邮件服务器单独把爆破检测改为只检测不处置避免加黑名单影响正常使用