从RDP爆破定位内部攻击者

文章来源：Bypass
一台没有发布任何服务到公网的服务器，却有大量的zh登录失败记录，咋一看实在有点让人费解。我们需要做的就是，从繁杂的现象中，拔丝抽茧找到有价值的信息，进一步定位攻击来源，从根源上解决gj问题。
01、攻击现象
一台内网服务器，Windows安全日志存在大量的zh登录失败记录（事件ID：4625）。

使用LogParser进行安全日志分析，编写查询语句对登录失败记录进行汇总：

如上图，登录类型 10代表的是远程登录，使用administrator尝试登录了48w次，确认服务器正在遭受RDP协议暴力破解攻击，攻击来源为内网的另一台服务器。
接下来，我们需要登录相关服务器进行排查原因。
02、入侵排查
（1）跟踪网络连接
首先从网络连接来确认一下是哪个进程在暴力破解。