windows 暴力破解协议关联

sysmon里采集到的数据：

+ System 
 
  - Provider 
 
   [ Name]  Microsoft-Windows-Sysmon 
   [ Guid]  {5770385F-C22A-43E0-BF4C-06F5698FFBD9} 
  
   EventID 3 
  
   Version 5 
  
   Level 4 
  
   Task 3 
  
   Opcode 0 
  
   Keywords 0x8000000000000000 
  
  - TimeCreated 
 
   [ SystemTime]  2022-10-09T03:46:19.534422100Z 
  
   EventRecordID 311410 
  
   Correlation 
  
  - Execution 
 
   [ ProcessID]  4044 
   [ ThreadID]  2624 
  
   Channel Microsoft-Windows-Sysmon/Operational 
  
   Computer WIN-0BIKIQLCCRQ 
  
  - Security 
 
   [ UserID]  S-1-5-18 
  
 
- EventData 
 
  RuleName - 
  UtcTime 2022-10-09 03:46:06.642 
  ProcessGuid {2307292D-39CD-6342-1500-000000002500} 
  ProcessId 796 
  Image C:\Windows\System32\svchost.exe 
  User NT AUTHORITY\NETWORK SERVICE 
  Protocol tcp 
  Initiated false
  SourceIsIpv6 false
  SourceIp 192.168.81.1 
  SourceHostname - 
  SourcePort 61539 
  SourcePortName - 
  DestinationIsIpv6 false
  DestinationIp 192.168.81.128 
  DestinationHostname - 
  DestinationPort 3389 
  DestinationPortName - 

windows 事件管理器里采集的安全事件：时间上对比，一个是UtcTime 2022-10-09 03:46:06.642 ，一个是[ SystemTime] 2022-10-09T03:46:16.960417600Z 相差了10s，这延迟也是醉了！进程上看，一个是svchost，一个是winlogon！看来进程上关联暂时行不通。

+ System 
 
  - Provider 
 
   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 
  
   EventID 4624 
  
   Version 0 
  
   Level 0 
  
   Task 12544 
  
   Opcode 0 
  
   Keywords 0x8020000000000000 
  
  - TimeCreated 
 
   [ SystemTime]  2022-10-09T03:46:16.960417600Z 
  
   EventRecordID 5788 
  
   Correlation 
  
  - Execution 
 
   [ ProcessID]  508 
   [ ThreadID]  596 
  
   Channel Security 
  
   Computer WIN-0BIKIQLCCRQ 
  
   Security 
  
 
- EventData 
 
  SubjectUserSid S-1-5-18 
  SubjectUserName WIN-0BIKIQLCCRQ$ 
  SubjectDomainName WORKGROUP 
  SubjectLogonId 0x3e7 
  TargetUserSid S-1-5-21-741148093-1928057603-1691591098-1000 
  TargetUserName bonelee 
  TargetDomainName WIN-0BIKIQLCCRQ 
  TargetLogonId 0x221a49 
  LogonType 10 
  LogonProcessName User32  
  AuthenticationPackageName Negotiate 
  WorkstationName WIN-0BIKIQLCCRQ 
  LogonGuid {00000000-0000-0000-0000-000000000000} 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x7bc 
  ProcessName C:\Windows\System32\winlogon.exe 
  IpAddress 192.168.81.1 
  IpPort 61539 

logtype = 10

登录进程为advapi

零、约定
为方便后文叙述，不妨假设：软件学院服务器的本地管理员账户是：administrator。

一、缘起
昨日软件学院网站无法访问，后来发现是权限问题，配置后恢复正常。然解决途中，偶尔看到事件查看器中，有本地管理员administrator登陆系统的记录；但是经过询问，发现知道管理员密码的维护人员都没有在该时间登陆服务器。故因而生疑。

二、情况描述
1）事件查看器中记录：
       来源：Security ；时间：3：00：00 ；类别：登录/注销；类型：审核成功；事件ID：528 ；用户：administrator
       描述：
       登录类型: 4 ；登录进程: Advapi ；身份验证数据包: Negotiate ；源网络地址: - ；源端口：- 。
2）发现：每天3：00，都有此登录消息记录。
3）从微软官方技术帮助文章得证，事件ID528是登录Windows桌面的ID记录。（详见/hope/Education/ShowArticle.asp?ArticleID=4142）
4）无法跟踪到源网络地址（IP）。
5）服务器上每天3：00会进行ntbackup计划任务，登录事件有可能与之相关。

三、查看过程
1）对比远程登录信息（测试地方：工作站），发现其他信息都一致，不同的在于：
远程登录信息为：登录类型：10 ；登录进程: User32 ；源网络地址: 202.116.83.214 ；源端口：4351 。
2）于是百度“登录进程: Advapi”，未果；后来在微软官网上看到关于“登录进程: Advapi”的解释——API call to LogonUser。
（详见/hope/Education/ShowArticle.asp?ArticleID=4142）。
3）无独有偶，后来无意间在50上看到了相同的的登录事件，而且记录是每三个小时一次，这个与50上面的桌面信息更新的任务计划时间刚好吻合；而在ss上，每天3：00则刚好是Ntbackup的任务计划的时间。
4）因此，加上微软的官方解释，推断软件学院服务器上和50上的登录（EventID为528，登录用户为管理员，登录进程为advapi）皆为由于任务计划调用了API，而“API则调用了LogonUser（管理员）(API call to LogonUser)”，从而产生了登录事件。
5）后来百度“登录类型”，得到了进一步验证：（/hope/Education/ShowArticle.asp?ArticleID=4140）
a、此次登录信息为：登录类型4：对应于批处理（Batch），即“计划任务服务”
b、远程测试登录信息为：登录类型10：远程交互（RemoteInteractive）。

四、结论
软件学院上每天三点的本地管理员administrator登陆系统的记录，乃每天三点的NtBackup的计划任务服务执行从而调用登录的缘故。

相关文章：
Windows登录类型
/hope/Education/ShowArticle.asp?ArticleID=4140
审核用户身份验证
/hope/Education/ShowArticle.asp?ArticleID=4142