Jak interpretować identyfikator zdarzenia zabezpieczeń systemu Windows 4688 podczas dochodzenia

Wprowadzenie

Zgodnie z Microsoft, identyfikatory zdarzeń (nazywane też identyfikatorami zdarzeń) jednoznacznie identyfikują określone zdarzenie. Jest to numeryczny identyfikator dołączany do każdego zdarzenia rejestrowanego przez system operacyjny Windows. Identyfikator zapewnia Informacja o zdarzeniu, które wystąpiło i mogą być wykorzystane do identyfikacji i rozwiązywania problemów związanych z działaniem systemu. Zdarzenie w tym kontekście odnosi się do dowolnej akcji wykonanej przez system lub użytkownika w systemie. Zdarzenia te można przeglądać w systemie Windows za pomocą Podglądu zdarzeń

Identyfikator zdarzenia 4688 jest rejestrowany za każdym razem, gdy tworzony jest nowy proces. Dokumentuje każdy program wykonywany przez maszynę i jego dane identyfikacyjne, w tym twórcę, cel i proces, który go uruchomił. Kilka zdarzeń jest rejestrowanych pod identyfikatorem zdarzenia 4688. Po zalogowaniu uruchamiany jest podsystem menedżera sesji (SMSS.exe) i rejestrowane jest zdarzenie 4688. Jeśli system jest zainfekowany złośliwym oprogramowaniem, złośliwe oprogramowanie prawdopodobnie utworzy nowe procesy do uruchomienia. Takie procesy byłyby udokumentowane pod numerem identyfikacyjnym 4688.

 

Wdróż Redmine na Ubuntu 20.04 na AWS

Interpretacja identyfikatora zdarzenia 4688

Aby zinterpretować identyfikator zdarzenia 4688, ważne jest zrozumienie różnych pól zawartych w dzienniku zdarzeń. Pola te mogą służyć do wykrywania wszelkich nieprawidłowości i śledzenia pochodzenia procesu z powrotem do jego źródła.

• Temat twórcy: to pole zawiera informacje o koncie użytkownika, który zażądał utworzenia nowego procesu. To pole zapewnia kontekst i może pomóc śledczym w identyfikacji anomalii. Obejmuje kilka podpól, w tym:

• • Identyfikator bezpieczeństwa (SID)” Według Microsoft, identyfikator SID jest unikalną wartością służącą do identyfikacji powiernika. Służy do identyfikacji użytkowników na komputerze z systemem Windows.
  • Nazwa konta: identyfikator SID jest rozpoznawany tak, aby pokazywał nazwę konta, które zainicjowało utworzenie nowego procesu.
  • Domena konta: domena, do której należy komputer.
  • Identyfikator logowania: unikalna wartość szesnastkowa używana do identyfikacji sesji logowania użytkownika. Można go użyć do skorelowania zdarzeń, które zawierają ten sam identyfikator zdarzenia.

• Temat docelowy: to pole zawiera informacje o koncie użytkownika, na którym działa proces. Podmiot wymieniony w zdarzeniu tworzenia procesu może w pewnych okolicznościach różnić się od podmiotu wymienionego w zdarzeniu zakończenia procesu. Tak więc, gdy twórca i cel nie mają tego samego loginu, ważne jest uwzględnienie podmiotu docelowego, nawet jeśli obaj odwołują się do tego samego identyfikatora procesu. Pola podrzędne są takie same, jak w przypadku tematu twórcy powyżej.
• Informacje o procesie: to pole zawiera szczegółowe informacje o utworzonym procesie. Obejmuje kilka podpól, w tym:

• • Identyfikator nowego procesu (PID): unikalna wartość szesnastkowa przypisana nowemu procesowi. System operacyjny Windows używa go do śledzenia aktywnych procesów.
  • Nazwa nowego procesu: pełna ścieżka i nazwa pliku wykonywalnego, który został uruchomiony w celu utworzenia nowego procesu.
  • Typ oceny tokena: ocena tokena to mechanizm bezpieczeństwa stosowany przez system Windows w celu określenia, czy konto użytkownika jest upoważnione do wykonania określonej akcji. Typ tokena, którego proces użyje do zażądania podwyższonych uprawnień, jest nazywany „typem oceny tokena”. Istnieją trzy możliwe wartości dla tego pola. Typ 1 (%%1936) oznacza, że ​​proces używa domyślnego tokenu użytkownika i nie zażądał żadnych specjalnych uprawnień. Dla tego pola jest to najczęściej spotykana wartość. Typ 2 (%%1937) oznacza, że ​​proces zażądał pełnych uprawnień administratora do uruchomienia i pomyślnie je uzyskał. Gdy użytkownik uruchamia aplikację lub proces jako administrator, jest on włączony. Typ 3 (%%1938) oznacza, że ​​proces otrzymał tylko uprawnienia wymagane do wykonania żądanej akcji, mimo że zażądał podwyższonych uprawnień.

• • Obowiązkowa etykieta: etykieta integralności przypisana do procesu. 
  • Identyfikator procesu twórcy: unikalna wartość szesnastkowa przypisana do procesu, który zainicjował nowy proces. 
  • Nazwa procesu twórcy: pełna ścieżka i nazwa procesu, który utworzył nowy proces.
  • Wiersz polecenia procesu: zawiera szczegółowe informacje o argumentach przekazanych do polecenia w celu zainicjowania nowego procesu. Zawiera kilka podpól, w tym bieżący katalog i skróty.

Wdróż platformę GoPhish Phishing na Ubuntu 18.04 w AWS

Wnioski

 

Podczas analizowania procesu bardzo ważne jest określenie, czy jest on zgodny z prawem, czy złośliwy. Legalny proces można łatwo zidentyfikować, patrząc na temat twórcy i pola informacji o procesie. Identyfikator procesu może służyć do identyfikowania anomalii, takich jak nowy proces tworzony z nietypowego procesu nadrzędnego. Wiersza poleceń można również użyć do sprawdzenia legalności procesu. Na przykład proces z argumentami zawierającymi ścieżkę do poufnych danych może wskazywać na złośliwy zamiar. Pole Temat twórcy może służyć do określenia, czy konto użytkownika jest powiązane z podejrzaną aktywnością lub ma podwyższone uprawnienia. 

Ponadto ważne jest, aby skorelować zdarzenie o identyfikatorze 4688 z innymi istotnymi zdarzeniami w systemie, aby uzyskać kontekst dotyczący nowo utworzonego procesu. Identyfikator zdarzenia 4688 można skorelować z zdarzeniem 5156, aby określić, czy nowy proces jest powiązany z jakimikolwiek połączeniami sieciowymi. Jeśli nowy proces jest powiązany z nowo zainstalowaną usługą, zdarzenie 4697 (instalacja usługi) można skorelować z 4688 w celu dostarczenia dodatkowych informacji. Identyfikator zdarzenia 5140 (tworzenie pliku) może również służyć do identyfikowania nowych plików utworzonych przez nowy proces.

Podsumowując, zrozumienie kontekstu systemu ma na celu określenie potencjału wpływ procesu. Proces zainicjowany na krytycznym serwerze może mieć większy wpływ niż proces uruchomiony na autonomicznej maszynie. Kontekst pomaga kierować dochodzeniem, ustalać priorytety reakcji i zarządzać zasobami. Analizując różne pola w dzienniku zdarzeń i przeprowadzając korelację z innymi zdarzeniami, można prześledzić nieprawidłowe procesy do ich pochodzenia i ustalić przyczynę.