Kako protumačiti Windows sigurnosni događaj ID 4688 u istrazi

Uvod

Prema microsoft, ID-ovi događaja (koji se nazivaju i identifikatori događaja) jedinstveno identificiraju određeni događaj. To je numerički identifikator pridružen svakom događaju koji bilježi operativni sustav Windows. Identifikator pruža informacije o događaju koji se dogodio i može se koristiti za prepoznavanje i rješavanje problema koji se odnose na rad sustava. Događaj se, u ovom kontekstu, odnosi na bilo koju radnju koju izvodi sustav ili korisnik na sustavu. Ovi se događaji mogu vidjeti u sustavu Windows pomoću Preglednika događaja

Događaj ID 4688 bilježi se kad god se kreira novi proces. Dokumentira svaki program koji je stroj izvršio i njegove identifikacijske podatke, uključujući kreatora, metu i proces koji ga je pokrenuo. Nekoliko se događaja bilježi pod ID-om događaja 4688. Nakon prijave pokreće se podsustav upravitelja sesija (SMSS.exe) i bilježi se događaj 4688. Ako je sustav zaražen zlonamjernim softverom, zlonamjerni softver će vjerojatno stvoriti nove procese za pokretanje. Takvi procesi bili bi dokumentirani pod ID 4688.

 

Postavite Redmine na Ubuntu 20.04 na AWS

Tumačenje ID-a događaja 4688

Kako bismo protumačili događaj ID 4688, važno je razumjeti različita polja uključena u dnevnik događaja. Ova se polja mogu koristiti za otkrivanje bilo kakvih nepravilnosti i praćenje podrijetla procesa do njegovog izvora.

• Predmet kreatora: ovo polje pruža informacije o korisničkom računu koji je zatražio stvaranje novog procesa. Ovo polje pruža kontekst i može pomoći forenzičkim istražiteljima da identificiraju anomalije. Uključuje nekoliko potpolja, uključujući:

• • Sigurnosni identifikator (SID)” Prema microsoft, SID je jedinstvena vrijednost koja se koristi za identifikaciju povjerenika. Koristi se za identifikaciju korisnika na Windows stroju.
  • Naziv računa: SID je riješen tako da prikazuje naziv računa koji je pokrenuo stvaranje novog procesa.
  • Domena računa: domena kojoj računalo pripada.
  • Logon ID: jedinstvena heksadecimalna vrijednost koja se koristi za identifikaciju korisnikove sesije prijave. Može se koristiti za povezivanje događaja koji sadrže isti ID događaja.

• Ciljani predmet: ovo polje daje informacije o korisničkom računu pod kojim se proces izvodi. Subjekt spomenut u događaju stvaranja procesa može se, u nekim okolnostima, razlikovati od subjekta spomenutog u događaju završetka procesa. Dakle, kada kreator i cilj nemaju istu prijavu, važno je uključiti ciljni subjekt iako oba referiraju na isti ID procesa. Potpolja su ista kao kod subjekta kreatora iznad.
• Podaci o procesu: ovo polje daje detaljne informacije o kreiranom procesu. Uključuje nekoliko potpolja, uključujući:

• • ID novog procesa (PID): jedinstvena heksadecimalna vrijednost dodijeljena novom procesu. Operativni sustav Windows koristi ga za praćenje aktivnih procesa.
  • Naziv novog procesa: puni put i naziv izvršne datoteke koja je pokrenuta za stvaranje novog procesa.
  • Vrsta evaluacije tokena: evaluacija tokena je sigurnosni mehanizam koji upotrebljava Windows kako bi utvrdio je li korisnički račun ovlašten za izvođenje određene radnje. Vrsta tokena koju će proces koristiti za traženje povišenih privilegija naziva se "vrsta evaluacije tokena". Postoje tri moguće vrijednosti za ovo polje. Tip 1 (%%1936) označava da proces koristi zadani korisnički token i da nije zatražio nikakve posebne dozvole. Za ovo polje to je najčešća vrijednost. Tip 2 (%%1937) označava da je proces zahtijevao pune administratorske ovlasti za pokretanje i uspješno ih je dobio. Kada korisnik pokrene aplikaciju ili proces kao administrator, to je omogućeno. Tip 3 (%%1938) označava da je proces dobio samo prava potrebna za izvođenje tražene akcije, iako je zahtijevao povišene privilegije.

• • Obavezna oznaka: oznaka integriteta dodijeljena procesu. 
  • Creator Process ID: jedinstvena heksadecimalna vrijednost dodijeljena procesu koji je pokrenuo novi proces. 
  • Naziv procesa kreatora: puni put i naziv procesa koji je kreirao novi proces.
  • Naredbeni redak procesa: pruža pojedinosti o argumentima proslijeđenim u naredbu za pokretanje novog procesa. Uključuje nekoliko potpolja uključujući trenutni direktorij i hashove.

Implementirajte GoPhish Phishing platformu na Ubuntu 18.04 u AWS

Zaključak

 

Pri analizi procesa bitno je utvrditi je li legitiman ili zlonamjeran. Legitimni proces može se lako identificirati gledanjem subjekta kreatora i polja informacija o procesu. ID procesa može se koristiti za prepoznavanje anomalija, kao što je novi proces nastao iz neobičnog nadređenog procesa. Naredbeni redak također se može koristiti za provjeru legitimnosti procesa. Na primjer, proces s argumentima koji uključuje put datoteke do osjetljivih podataka može ukazivati ​​na zlonamjernu namjeru. Polje Creator Subject može se koristiti za određivanje je li korisnički račun povezan sa sumnjivom aktivnošću ili ima povišene privilegije. 

Nadalje, važno je povezati događaj ID 4688 s drugim relevantnim događajima u sustavu kako bi se dobio kontekst o novostvorenom procesu. ID događaja 4688 može se povezati s 5156 kako bi se utvrdilo je li novi proces povezan s nekom mrežnom vezom. Ako je novi proces povezan s novoinstaliranom uslugom, događaj 4697 (instalacija usluge) može se povezati s 4688 radi pružanja dodatnih informacija. ID događaja 5140 (stvaranje datoteke) također se može koristiti za identifikaciju svih novih datoteka stvorenih novim procesom.

Zaključno, razumijevanje konteksta sustava je određivanje potencijala utjecaj procesa. Proces pokrenut na kritičnom poslužitelju vjerojatno će imati veći učinak od onog pokrenutog na samostalnom računalu. Kontekst pomaže u usmjeravanju istrage, određivanju prioriteta odgovora i upravljanju resursima. Analizom različitih polja u zapisniku događaja i izvođenjem korelacije s drugim događajima, nepravilnim procesima može se pratiti njihovo podrijetlo i utvrditi uzrok.