一、概述

在应急响应过程中不可避免的要分析操作系统日志、数据库日志、应用系统日志，近期在应急过程中需要对远程工具todesk进行分析，现将todesk日志分析结果同步给大家，希望能给大家一些帮助。

todesk、向日葵、anydesk目前都是大家日常办公使用的远程软件，在方便大家办公的同时也方便了攻击者，攻击者可以直接利用todesk类的远程软件直接操作目标主机，绕过防护软件的策略。

二、日志位置

默认情况下todesk日志文件保存在安装目录同级目录Logs下，目录下有service开头的文件以及client开头的文件。

service开头的文件表示的是被别人远控的日志。

client开头的文件表示的是远控别人机器的日志。

三、日志分析

1，远控别人的日志

查看client日志

匹配关键词“Room createMuxRoom server”

关闭连接日志，匹配关键词“Upnp stop”

2，被别人远控的日志

查看service.log文件

匹配关键词“tcp begin connect ”

即可看到远程连接记录和对端的ip地址

port为443的IP是todesk官方服务器的IP，忽略

关闭连接记录，匹配关键词“host connection sendCloseEvent”

四、防护建议

1，不需要使用远程功能时软件退出运行

2，密码一次一改，仅使用临时密码，建议缩短临时密码的有效期

3，将终端todesk日志收集至一处，对todesk日志设置监控策略，在非工作时间内连接上线的记录进行告警