SMB登录事件排查经验分享

1. 概述

1.1 案例

先来看两张图：  看到这两张图的第一印象应该是这是一个成功的登陆，其类型为3，代表网络登陆，4624表示成功登陆，可能大部分人都是如此认为。 那么实际上呢？这里面是存在一定歧义的，今天给大家同步一下这里面的详细细节。

1.2 原理

当用户使用SMB 协议连接时，在提示用户输入密码之前，其会使用anonymous用户（也就是匿名用户）进行 SMB 网络连接，一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志：

登陆用户为anonymous
登录进程为NTLMssp
使用协议为NTLM V1
登陆协议为SMB

2. 测试

2.1 SMB连接失败情况

2.1.1 找不到网络名/拒绝访问

直接使用net use发起一个针对不存在的aaa$的连接，会报错找不到网络名，使用net use也可以看到其连接并没有成功： 

但是我们来看看日志，可以看到其产生了一条4624类型3的成功登陆的日志，这个仅仅表示使用anonymouse用户成功登录网络 

使用正确的目录路径，但不输入用户会报错拒绝访问，该状态同样会导致一个匿名用户的登录成功 类型3 

2.1.2 用户名或密码不正确

使用不正确的账密登录时，会报错用户名或密码不正确。

 

 这种情况在日志中就不会出现匿名登录登录成功日志，而是直接显示4625日志，当然也显示了登录的用户名。

2.2 SMB登录成功

如果使用正确的账密进行登录的话在日志中的表现是如何呢？  除类型3的登录成功以外，还会有4776（验证凭据）和4672（登录权限分配）的shijian 

3. 总结

当攻击者使用SMB进行连接时，若访问路径不存在或账号不存在时将产生anonymous用户（匿名用户）的登录类型3的4624日志，并非代表机器失已经被登录。

4624不一定是攻击者登陆成功，要结合ip字段、targetuser字段、还有user等诸多字段并且看日志上下文，system授权有时候也会产生4624的高告警（上述字段仅表示含义，具体字段名称复杂记不清）