Am o configurare WinRM într-un mediu de domeniu folosind autentificare Kerberos. Am efectuat recent o captură de rutină a rețelei cu WireShark și am fost surprins să văd niște solicitări WinRM POST (pe portul 5985) provenind de la un server unde niciun utilizator final nu a inițiat o astfel de solicitare.WinRM este activat atât pe serverul sursă, cât și pe cel țintă:
xxx 2021-xx-xx xx:xx:xx,xxxxxx <sursă ip> <dest ip> HTTP 1385 5985 POST /wsman HTTP/1.1
xxx 2021-xx-xx xx:xx:xx,xxxxxx <sursă ip> <dest ip> HTTP 800 5985 POST /wsman HTTP/1.1 (aplicație/http-kerberos-session-encrypted)
Pe serverul care inițiază acele apeluri către WinRM, jurnalul de evenimente „Windows/Windows Remote Management/Operationnal” arată o grămadă de operațiuni WinRM inițiate în cadrul diferitelor sesiuni de utilizatori legitimi, dar care nu au emis nicio comandă Powershell de la distanță/WinRM pe care le găsesc un putin ciudat.
Sursa: Windows Remote Management
ID eveniment: 6, 8, 10, 11,13,15, 16, 33, 91, 132, 145, 254
Aceste evenimente sunt inițializarea API WSMan, apelurile API WSMan, terminarea sesiunii, gestionarea răspunsurilor etc.
Există un fel de trafic legitim inițiat în mod obișnuit de arhitectura WinRM în afara acțiunilor inițiate de utilizator, cum ar fi executarea comenzilor Powershell de la distanță sau rularea de apeluri API explicite de la biblioteci/aplicații terțe precum Pywinrm?
Nu am văzut nicio mențiune despre acest lucru în timpul cercetării mele până acum, deci cum să deosebesc cererile legitime WinRM de cele necinstite în acest context?
