Saravanan-Patrick/Lab-02-Brute-Force-Attack

# Lab-02-Brute-Force-Attack 利用 Windows 事件日志进行检测与分析 ## 这是一个完全隔离、受控的实验环境。未针对任何真实系统进行攻击。所有模拟均在个人虚拟机上执行，仅供教育目的。 ## 关于本实验室 实验室 02 建立在实验室 01 中进行的网络侦察基础之上，模拟了针对 Windows 10 目标的真实暴力破解攻击。利用来自 Kali Linux 的 Metasploit smb_login 模块，该攻击通过 SMB 端口 445（即在实验室 01 中发现的同一端口）尝试对 Administrator 账户使用多个密码。Windows 10 VM 生成登录失败事件（Event ID 4625），随后像 SOC 分析师那样对这些事件进行分析。 ## 实验环境 | 组件 | 详情 | |-----------|---------| | Hypervisor | VMware Workstation Pro 25H2 | | 攻击机 | Kali Linux 2025.4 (amd64) | | 防御者 / 目标机 | Windows 10 x64 | | 网络类型 | VMware LAN Segment — 隔离 (testpractice) | | 攻击者 IP | 192.168.20.11 (静态) | | 目标 IP | 192.168.20.10 (静态) | | 攻击工具 | Metasploit Framework v6.4 — smb_login | | 目标端口 | 445/TCP — SMB | | 检测方法 | Windows Event Viewer — Event ID 4625 | ## 攻击模拟 — 攻击者端 (Kali Linux) ## 步骤 1 — 创建密码字典 在 Kali 桌面上创建了一个包含 8 个常用密码的自定义密码字典： cd ~/Desktop nano passwords.txt 字典中包含的密码： • password • 123456 • admin • welcome • Password123 • letmein • qwerty • administrator ## 步骤 2 — 启动 Metasploit Framework 从 Kali 终端启动 Metasploit： msfconsole Metasploit Framework v6.4.99-dev 已加载，包含 2,572 个 exploit 和 1,317 个 auxiliary 模块。 ## 步骤 3 — 配置 SMB 登录扫描器 选中 smb_login auxiliary 模块并将其配置为针对 Windows 10 VM： use auxiliary/scanner/smb/smb_login set RHOSTS 192.168.20.10 set SMBUser administrator set PASS_FILE /home/kali/Desktop/passwords.txt run ## 步骤 4 — 攻击执行结果 Metasploit 通过 SMB 端口 445 针对 Administrator 账户尝试了字典中的所有 8 个密码： | 尝试序号 | 尝试密码 | 结果 | 生成的事件 | |-----------|----------------|--------|-----------------| | 1 | password | 失败 — 密码错误 | Event ID 4625 | | 2 | 123456 | 失败 — 密码错误 | Event ID 4625 | | 3 | admin | 失败 — 密码错误 | Event ID 4625 | | 4 | welcome | 失败 — 密码错误 | Event ID 4625 | | 5 | Password123 | 失败 — 密码错误 | Event ID 4625 | | 6 | letmein | 失败 — 密码错误 | Event ID 4625 | | 7 | qwerty | 失败 — 密码错误 | Event ID 4625 | | 8 | administrator | 失败 — 密码错误 | Event ID 4625 | ## 检测 — 防御者端 (Windows Event Viewer) 针对 Event ID 4625（登录失败）筛选 Windows 安全日志。 **结果：检测到 10 次登录失败尝试。** | 事件 ID | 事件名称 | 含义 | SOC 重要性 | |----------|------------|---------|-----------------| | 4625 | 登录失败 | 有人尝试登录但失败 | 危急 (CRITICAL) — 暴力破解指标 | | 4624 | 登录成功 | 有人成功登录 | 检查是否紧随多次 4625 之后 | | 4648 | 使用显式凭据登录 | 显式使用的凭据 | 横向移动指标 | | 4720 | 已创建用户账户 | 系统上创建了新账户 | 可能的后门创建 | | 4732 | 已添加到管理员组 | 用户被添加到 Administrators 组 | 权限提升警报 | ## Event ID 4625 分析 在针对 Event ID 4625 筛选 Windows 安全日志后，观察到以下信息： | 字段 | 值 | 告知我们的信息 | |----------|------------|---------| |登录失败总数 |10 个事件 | 高频次 = 暴力破解模式 | | 目标账户 | Administrator | 高价值账户 — 攻击者知晓目标 | | 源 IP 地址 | 192.168.20.11 | Kali Linux 攻击机 | | 源端口 | 445/TCP (SMB) | 通过文件共享协议进行的攻击 | | 失败原因 | 用户名未知或密码错误 | 确认密码猜测 | | 登录类型 | 3 (网络登录) | 远程身份验证尝试 | | 时间窗口 | 2 分钟内 | 自动化工具 — 非手动输入 | | 工作站名称 | KALI | 日志中可见攻击者主机名 | ## 暴力破解检测规则 在真实的 SOC 环境中，SIEM 规则会自动检测此模式： ## SIEM 警报规则：IF (Event ID 4625 count > 5 from same Source IP within 60 seconds) THEN trigger BRUTE FORCE ALERT → assign to Tier 1 analyst for investigation 用于检测此攻击的 Splunk 查询： index=wineventlog EventCode=4625 | stats count by src_ip, user | where count > 5 | sort -count ## 入侵指标 | IOC 类型 | 值 | 重要性 | |----------|-------|-------------| | 源 IP | 192.168.20.11 | Kali Linux — 攻击者 | | 目标 IP | 192.168.20.10 | Windows 10 — 受害者 | | 目标账户 | Administrator | 高权限账户 | | 攻击协议 | SMB 端口 445/TCP | 文件共享协议 | | 攻击工具 | Metasploit smb_login | 自动化暴力破解 | | 事件 ID | 4625 — 登录失败 | 2 分钟内 10 个事件 | | 日期/时间 | 2026-03-15 19:14 | 攻击时间戳 | | 失败次数 | 10 次失败尝试 | 超出 3-5 次的正常阈值 | ## 安全观察 ## 1. SMB 端口 445 是高价值攻击目标 这是实验室 01 Nmap 扫描中发现的同一开放端口。攻击者的工作流程是：1) 侦察（Nmap — 实验室 01）→ 2) 攻击（通过 SMB 进行暴力破解 — 实验室 02）。这准确地展示了 Cyber Kill Chain 在真实攻击中的运作方式。 ## 2. Administrator 账户应重命名或禁用 攻击者立即将目标对准“Administrator”，因为它是默认的 Windows 管理员账户。在生产环境中，应重命名或禁用此账户，并替换为具名管理员账户。这是基本的安全加固步骤。 ## 3. 未配置账户锁定策略 攻击得以尝试所有 8 个密码而未导致账户被锁定。在加固系统中，应将账户锁定策略设置为在 3-5 次失败尝试后锁定账户。这本可在第 4 次尝试时阻止攻击。 ## 4. SMB 身份验证无 MFA 即使密码被猜中，多因素认证 (MFA) 也能完全阻止此攻击。现代企业环境对所有远程身份验证强制执行 MFA。 ## 5. 攻击在日志中完全可见 此处的积极发现是，Windows 事件日志记录了每一次失败的尝试及其完整详细信息，包括源 IP、时间戳、账户名和登录类型。监控这些日志的 SIEM 本可在数秒内触发警报。 ## 我学到了什么 • 暴力破解攻击如何在实践中运作 — 通过 Metasploit 进行自动化密码猜测 • 如何使用 Metasploit 的 smb_login 模块进行凭据攻击 • Windows 如何为每次登录失败尝试生成 Event ID 4625 • 如何按特定 Event ID 筛选事件查看器以查找安全事件 • 如何通过日志分析识别暴力破解模式 — 频率 + 源 IP • 账户锁定策略在防止暴力破解攻击中的重要性 • 实验室 01 (Nmap) 和实验室 02 (暴力破解) 如何关联 — 侦察导致定向攻击 • SOC 分析师如何使用 SIEM 查询自动检测暴力破解模式 • Cyber Kill Chain 跨越两个实验室的实战应用 — 侦察 → 利用 ## 关于我 Saravanan — 正从食品技术领域转型进入网络安全行业，专注于 SOC 分析和蓝队行动。本实验室是我的 Mini SOC 家庭实验室系列的一部分，用于记录实践学习过程。 - LinkedIn: [linkedin.com/in/saravanan-cyber](https://linkedin.com/in/saravanan-cyber) - Email: career.entrydesk@gmail.com - Location: Thiruvallur, Tamil Nadu, India

标签：PoC, SMB_Login, SMB 协议, SOC 实验室, VMware 虚拟化, Windows 事件日志, 事件 ID 4625, 安全运营, 密码攻击, 扫描框架, 教育实验, 暴力破解, 端口 445, 网络安全, 蜜罐/靶场, 隐私保护