Pouvoir retracer le cheminement d’un attaquant est une chose essentielle, mais sur quel artefact peut-on construire notre analyse ?
Le RDP, pour Remote Desktop Protocol, est un protocole très utilisé dans un environnement Windows. Il permet de créer un bureau distant, en incluant de nombreuses fonctionnalités permettant d'interagir entre le client et le serveur, comme le montage des disques, la gestion du clipboard, etc. Étant très utilisé par les administrateurs d'un système, il est naturellement une cible de choix pour les attaquants. RDP est en effet très utilisé dans les phases de latéralisations ; il est donc essentiel, pour une équipe de défense, de comprendre les évènements associés à l'utilisation, et plus particulièrement, à l'authentification via le protocole RDP.
1. Évènements d'authentification
Le journal d’événements, et plus particulièrement le magasin de sécurité, contient de nombreux éléments associés à l'authentification. L’événement 4624 est associé à une authentification réussie. Il permet aussi de savoir quelle méthode d'authentification a...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première