#原创分享#EDR检测到匿名SMB爆破处置

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

一、现象

EDR管理平台发现一台主机大量被爆力破解，攻击源IP为**

EDRagent上检测到远程爆破， 攻击源IP为匿名IP

二、排查

服务器上日志上显示每一分钟有一次审核失败记录，登陆类型为3，没显示源IP。

日志详情：

帐户登录失败。

使用者:

        安全 ID:                NULL SID

        帐户名:                -

        帐户域:                -

        登录 ID:                0x0

登录类型:                        3

登录失败的帐户:

        安全 ID:                NULL SID

        帐户名:                **istrator

        帐户域:                HRRG-ERPSERVER2

失败信息:

        失败原因:                未知用户名或密码错误。

        状态:                        0xC000006D

        子状态:                0xC000006A

进程信息:

        调用方进程 ID:        0x0

        调用方进程名:        -

网络信息:

        工作站名:        HRRG-ERPSERVER2

        源网络地址:        -

        源端口:                -

详细身份验证信息:

        登录进程:                NtLmSsp

        身份验证数据包:        NTLM

        传递服务:        -

        数据包名(仅限 NTLM):        -

        密钥长度:                0

登录请求失败时在尝试访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。

        -“传递服务”指明哪些直接服务参与了此登录请求。

        -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

在服务器上服务器上用IPSec策略限制了135，137，138，139，445访问同时限制服务器访问其它主机的135，137，138，139，445，问题依旧！！

三、解决

点击：开始->管理工具->本地安全策略->本地策略->安全选项，设置一下选项

针对勒索病毒常发的RDP爆破攻击，EDR 3.2.21新增了远程登陆二次验证功能，但对于SMB爆破，除了EDR具备的暴力爆破封堵、微隔离等功能以外，楼主分享的方式能从源头制止SMB攻击，感谢楼主的分享！

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

暴力破解的攻击在日常运维中会经常碰到

学习学习

感谢分享

学习一下

学习学习

学习打卡，感谢分享

学习一下

感谢分享