Forum

Exchange zero-day a...
 
Bildirimler
Hepsini Temizle

Exchange zero-day atağı ve kullanıcıyı tespit etmek

1 Yazılar
1 Üyeler
0 Likes
229 Görüntüleme
Tevfik Ceydeliler
(@tevfikceydeliler)
Gönderiler: 52
Estimable Member
Konu başlatıcı
 

Merhaba,

Dün SIEM üzerinde bir zero-day atağı tespit ettik. Saldırı 401 aldığı için başarılı değil.  Aşağıdaki log  bu tespitin kaydı.

Ancak, hangi kullanıcı adı, şifre vs kullanılarak yapıldığını bulamadım henüz.

2022-10-04 15:30:22 W3SVC2 EXCHXXXX 10.X.Y.Z GET /owa/ &Email=autodiscover/autodiscover.json%[email protected]&ClientId=B60E3BCD91094265AB2562A329CE5FC5&ClientRequestId=&ActID=cd08a103-aaac-4c2f-b1e0-dd31832a56b4&Forest=yasar&CorrelationID=<empty> 444 - 10.A.B.C HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+rv:68.0)+Gecko/20100101+Firefox/68.0 - - exchxxxx.company.grp:444 401 0 0 2003 858 17

Buradaki ClientId kısmından faydalanarak kullanıcı adına vs erişebilmek için nasıl bir yol izlemeliyim. Ya da başka bir yöntem önerebilir msiniz?

Teşekkürler.

 
Gönderildi : 05/10/2022 11:37
Konu Etiketleri

Paylaş: