hydra 실패로그 확인 55:20
event 4625 무차별 대입공격을 볼수있다
rdp-ad 58:05
방화벽+디펜더 58:42
디펜더 비활성화 58:4
디펜더 비활성화 58:42
공격도구(attack.zip, update.exe)
게더링 시작 00:05
게더링 실행결과
디펜더 끄는 정책 추가 시간 03:45
def정책에 Turn off Windwos defender Enabled로 되어있다
정책 생김
정책추가된 로그
rdp-kim 비밀번호 변경 04:14
Password Last Set : 9:04:14 수정한 시간
공유폴더에 옮긴시간(update.exe, ransome) 06:05
Z파일 내 Readme.msi가 share폴더로 이동했음을 확인
system_regripper_result 파일 中 attack 파일 內 frpc.exe, hello.exe, update.exe, Filezilla, payload.exe가 동시에 있음을 LOG로 확인
rdp-kim 05:25