Undetectable intruders Expand / Collapse
Author
Message
Posted 12/7/2016 12:45:51 PM
Forum Newbie

Forum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum Newbie

Group: Forum Members
Last Login: 12/12/2016 12:53:52 PM
Posts: 2, Visits: 5
Hello,

Im new in Windows Security forum.

Im trying to discover an intruder in my organization. I know that one of the employees have enough knowledge to do it but i dont have proofs.

In Security Event Viewer i have this 4624 Event that matches perfectly with the day i caught him but i have more of that events (including from my PC). Maybe this events are for share folders in the organization?

I noticed that the PC he is spying have TeamViewer and Anydesk installed (No explanation)

Im trying in TerminalService logs with no conclusive result.


Event 4624

Se inició sesión correctamente en una cuenta.

Sujeto:
Id. de seguridad: NULL SID
Nombre de cuenta: -
Dominio de cuenta: -
Id. de inicio de sesión: 0x0

Tipo de inicio de sesión: 3

Nuevo inicio de sesión:
Id. de seguridad: ANONYMOUS LOGON
Nombre de cuenta: ANONYMOUS LOGON
Dominio de cuenta: NT AUTHORITY
Id. de inicio de sesión: 0xda30b
GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}

Información de proceso:
Id. de proceso: 0x0
Nombre de proceso: -

Información de red:
Nombre de estación de trabajo: CHESTER
Dirección de red de origen: 192.168.0.80
Puerto de origen: 53461

Información de autenticación detallada:
Proceso de inicio de sesión: NtLmSsp
Paquete de autenticación: NTLM
Servicios transitados: -
Nombre de paquete (sólo NTLM): NTLM V1
Longitud de clave: 128

Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

Post #7289
Posted 12/12/2016 11:25:42 AM
Forum Newbie

Forum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum NewbieForum Newbie

Group: Forum Members
Last Login: 12/12/2016 12:53:52 PM
Posts: 2, Visits: 5
I discovered in another threads that this event is caused about shared folders between local machines.

But im sure i have a intruder, is it posible to connect remote desktop and log a session as local?
Post #7292
Posted 12/26/2016 3:59:17 PM
Supreme Being

Supreme BeingSupreme BeingSupreme BeingSupreme BeingSupreme BeingSupreme BeingSupreme BeingSupreme Being

Group: Moderators
Last Login: 11/14/2013 3:17:47 PM
Posts: 237, Visits: 0
It is possible to use RDP for a remote interactive logon session. Check 4688 to see what applications he may be running. If there is illicit remote administration software it seems like you know there is something wrong.
Post #7299
« Prev Topic | Next Topic »


Permissions Expand / Collapse

All times are GMT -5:00, Time now is 10:46pm