Kako protumačiti Windows sigurnosni događaj ID 4688 u istrazi

Uvod

Prema Microsoft, ID-ovi događaja (koji se nazivaju i identifikatori događaja) jedinstveno identificiraju određeni događaj. To je numerički identifikator koji se pripisuje svakom događaju koji je evidentirao operativni sistem Windows. Identifikator pruža informacija o događaju koji se dogodio i može se koristiti za identifikaciju i rješavanje problema koji se odnose na rad sistema. Događaj se u ovom kontekstu odnosi na bilo koju radnju koju izvrši sistem ili korisnik na sistemu. Ovi događaji se mogu pogledati na Windows-u pomoću Event Viewer-a

Događaj ID 4688 se bilježi svaki put kada se kreira novi proces. Dokumentuje svaki program koji je izvršila mašina i njegove identifikacione podatke, uključujući kreatora, cilj i proces koji ga je pokrenuo. Nekoliko događaja se evidentira pod ID-om događaja 4688. Nakon prijave, pokreće se podsistem upravitelja sesijama (SMSS.exe), a događaj 4688 se evidentira. Ako je sistem zaražen zlonamjernim softverom, zlonamjerni softver će vjerovatno stvoriti nove procese za pokretanje. Takvi procesi bi bili dokumentovani pod ID 4688.

 

Postavite Redmine na Ubuntu 20.04 na AWS

Interpretacija događaja ID 4688

Da bi se protumačio događaj ID 4688, važno je razumjeti različita polja uključena u dnevnik događaja. Ova polja se mogu koristiti za otkrivanje bilo kakvih nepravilnosti i praćenje porijekla procesa do njegovog izvora.

• Predmet kreatora: ovo polje pruža informacije o korisničkom nalogu koji je zahtevao kreiranje novog procesa. Ovo polje pruža kontekst i može pomoći forenzičkim istražiteljima da identifikuju anomalije. Uključuje nekoliko potpolja, uključujući:

• • Sigurnosni identifikator (SID)” Prema Microsoft, SID je jedinstvena vrijednost koja se koristi za identifikaciju povjerenika. Koristi se za identifikaciju korisnika na Windows mašini.
  • Naziv računa: SID je riješen tako da prikazuje ime računa koji je pokrenuo kreiranje novog procesa.
  • Domena naloga: domena kojoj računar pripada.
  • ID prijave: jedinstvena heksadecimalna vrijednost koja se koristi za identifikaciju sesije prijave korisnika. Može se koristiti za korelaciju događaja koji sadrže isti ID događaja.

• Ciljna tema: ovo polje pruža informacije o korisničkom nalogu pod kojim se proces pokreće. Subjekt koji se spominje u događaju kreiranja procesa može se, u nekim okolnostima, razlikovati od subjekta spomenutog u događaju završetka procesa. Dakle, kada kreator i cilj nemaju istu prijavu, važno je uključiti ciljni subjekt iako oba pozivaju na isti ID procesa. Potpolja su ista kao i kod teme kreatora iznad.
• Informacije o procesu: ovo polje pruža detaljne informacije o kreiranom procesu. Uključuje nekoliko potpolja, uključujući:

• • ID novog procesa (PID): jedinstvena heksadecimalna vrijednost dodijeljena novom procesu. Operativni sistem Windows ga koristi za praćenje aktivnih procesa.
  • Ime novog procesa: puna putanja i ime izvršne datoteke koja je pokrenuta da bi se kreirao novi proces.
  • Vrsta evaluacije tokena: procjena tokena je sigurnosni mehanizam koji koristi Windows kako bi utvrdio da li je korisnički račun ovlašten da izvrši određenu radnju. Tip tokena koji će proces koristiti za traženje povišenih privilegija naziva se “tip evaluacije tokena”. Postoje tri moguće vrijednosti za ovo polje. Tip 1 (%%1936) označava da proces koristi zadani korisnički token i da nije tražio nikakve posebne dozvole. Za ovo polje to je najčešća vrijednost. Tip 2 (%%1937) označava da je proces zahtijevao pune administratorske privilegije za pokretanje i da je bio uspješan u njihovom dobivanju. Kada korisnik pokrene aplikaciju ili proces kao administrator, to je omogućeno. Tip 3 (%%1938) označava da je proces dobio samo prava potrebna za izvođenje tražene radnje, iako je zahtijevao povišene privilegije.

• • Obavezna oznaka: oznaka integriteta dodijeljena procesu. 
  • ID procesa kreatora: jedinstvena heksadecimalna vrijednost dodijeljena procesu koji je pokrenuo novi proces. 
  • Creator Process Name: puna putanja i naziv procesa koji je kreirao novi proces.
  • Komandna linija procesa: pruža detalje o argumentima proslijeđenim u naredbu za pokretanje novog procesa. Sadrži nekoliko potpolja uključujući trenutni direktorij i hashove.

Postavite GoPhish phishing platformu na Ubuntu 18.04 u AWS

zaključak

 

Kada analizirate proces, važno je utvrditi je li legitiman ili zlonamjeran. Legitimni proces se može lako identifikovati gledanjem subjekta kreatora i polja informacija o procesu. ID procesa se može koristiti za identifikaciju anomalija, kao što je novi proces koji je nastao iz neobičnog nadređenog procesa. Komandna linija se također može koristiti za provjeru legitimnosti procesa. Na primjer, proces s argumentima koji uključuje putanju datoteke do osjetljivih podataka može ukazivati ​​na zlonamjernu namjeru. Polje Creator Subject može se koristiti za određivanje da li je korisnički nalog povezan sa sumnjivom aktivnošću ili ima povišene privilegije. 

Nadalje, važno je povezati događaj ID 4688 sa drugim relevantnim događajima u sistemu kako bi se dobio kontekst o novokreiranom procesu. Događaj ID 4688 može se povezati sa 5156 kako bi se utvrdilo da li je novi proces povezan s bilo kojom mrežnom vezom. Ako je novi proces povezan s novoinstaliranom uslugom, događaj 4697 (instalacija usluge) može se povezati s 4688 kako bi se pružile dodatne informacije. Događaj ID 5140 (kreiranje datoteke) se također može koristiti za identifikaciju novih datoteka kreiranih novim procesom.

U zaključku, razumijevanje konteksta sistema znači određivanje potencijala udar procesa. Proces pokrenut na kritičnom serveru vjerovatno će imati veći utjecaj od onog koji je pokrenut na samostalnoj mašini. Kontekst pomaže u usmjeravanju istrage, određivanju prioriteta odgovora i upravljanju resursima. Analizom različitih polja u dnevniku događaja i izvođenjem korelacije sa drugim događajima, anomalni procesi se mogu pratiti do njihovog nastanka i utvrditi uzrok.