[Cheat Sheet] RDP 아티팩트

이벤트 로그 분석

• 이벤트 로그 크기가 약 68KB인 경우 특별한 로그 없음. (아마 이벤트 로그 디폴트 값?으로 예상)
• RDP 이벤트 로그는 NLA 사용에 따라 다름

Security.evtx

1. Event ID 4624: 로그인 성공 로그
2. Event ID 4625: NLA를 끄면, 로그온 유형 10 클라이언트 주소, 계정 이름
3. Event ID 4778: Window Station에 세션 다시 연결 (계정 이름/IP)
4. Event ID 4779: Window Station에 세션 연결 끊김

TerminalServices-RemoteConnectionManager

1. Event ID 261 : Listener X received a connection (inbound connection)
2. Event ID 1149: 원격 데스크톱 서비스 사용자 인증 성공 (NLA를 끄면 기록 되지 않음)
3. Event ID 1158: 원격 데스크톱 서비스가 IP 주소 연결 수락

TerminalServices-LocalSessionManager

1. Event ID 41
2. Event ID 42
3. Event ID 21
4. Event ID 22
5. Event ID 25
6. Event ID 24

RemoteDesktopServices-RdpCoreTS

1. Event ID 131: 서버가 클라이언트 Source IP:Port 에서 새 TCP 연결을 수락했습니다.
2. Event ID 140: NLA를 끄면, 사용자 이름 또는 비밀번호가 올바르지 않아 컴퓨터 연결 실패

Ref

• https://tajdini.net/blog/forensics-and-security/rdp-authentication-artifacts-for-dfir-purpose/