공격(KIM)

AD 관리자에서 kim pc로 RDP 접속

kim으로 RDP 접속.png

C

Untitled

172.30.40.100에서 공격자가 원격으로 접속한 흔적

최초rdp.png

재시작 18:04

정책 배포를 위해 로그오프.png

Logoff

Event ID : 4634 공격자가 로그 정책 배포를 위한 로그 오프(Security event log)

랜섬웨어 배포정책넣음 18:55

Untitled

Untitled