Атакующие, использующие RDP в качестве одной из техник, часто стараются замести следы — очищают журналы событий Windows. Но опытный форензик знает: это лишь иллюзия невидимости. Пока основные журналы Security и System пустуют, десятки других источников еще хранят данные, необходимые для расследования
Куда смотреть, если основные журналы затерты?
Вот лишь часть альтернативных журналов, которые часто упускают из виду:
Microsoft-Windows-TerminalServices-RDPClient/Operational: детально логирует исходящие подключения с машины. Показывает, куда и когда злоумышленник ходил дальше по сети
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational: фиксирует все входящие и исходящие сеансы на самом сервере. Содержит IP-адреса, имена пользователей, время сессий и типы аутентификации
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational: технический лог, но помогает понять, с какими настройками происходило соединение, а также может указывать на попытки подключения
Microsoft-Windows-Sysmon/Operational: если Sysmon развёрнут. Не только покажет сетевую активность и создание процессов, но и дополнительно зафиксирует сам момент очистки других журналов
Помимо логов, дополнительно исследуем реестр в интересующий нас промежуток времени, а также файловую систему. Артефакты, остающиеся в ней, помогут не только доказать факт запуска клиента, но и обогатить картину инцидента изображениями удалённого стола, часто остающимися в кэше пользователя. Журналы — лишь часть большого пазла.
"Я тут подсмотрела, у коллег с незапамятных времен лежит табличка распределения EventID в зависимости от этапа установки соединения. Отдала в маркетинг, чтобы сделали красивой и прикрепили к посту. Вдруг вам тоже пригодится!" — Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC.
09.09.2025
