У меня есть установка WinRM в доменной среде с использованием проверки подлинности Kerberos. Недавно я выполнил стандартный захват сети с помощью WireShark и был удивлен, увидев некоторые POST-запросы WinRM (на порт 5985), исходящие от сервера, на котором ни один конечный пользователь не инициировал такой запрос.Как на исходном, так и на целевом сервере WinRM активирован:
xxx 2021-xx-xx xx:xx:xx,xxxxxx <IP-адрес источника> <IP-адрес назначения> HTTP 1385 5985 POST /wsman HTTP/1.1
xxx 2021-xx-xx xx:xx:xx,xxxxxx <IP-адрес источника> <IP-адрес назначения> HTTP 800 5985 POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)
На сервере, инициирующем эти вызовы WinRM, в журнале событий «Windows/Windows Remote Management/Operationnal» отображается набор операций WinRM, инициированных в различных сеансах законных пользователей, но которые не выполнили никаких команд удаленного взаимодействия Powershell/WinRM, которые я нахожу немного странно.
Источник: удаленное управление Windows.
Идентификатор события: 6, 8, 10, 11,13,15, 16, 33, 91, 132, 145, 254
Этими событиями являются инициализация WSMan API, вызовы WSMan API, завершение сеанса, управление ответами и т. д.
Существует ли какой-либо законный трафик, обычно инициируемый архитектурой WinRM за пределами инициированных пользователем действий, таких как выполнение команд удаленного взаимодействия Powershell или запуск явных вызовов API из сторонних библиотек/приложений, таких как Pywinrm?
До сих пор я не видел никаких упоминаний об этом во время моего исследования, так как же отличить законные запросы WinRM от мошеннических в этом контексте?
