Kā interpretēt Windows drošības notikuma ID 4688 izmeklēšanā

Ievads

Saskaņā ar microsoft, notikumu ID (saukti arī par notikumu identifikatoriem) unikāli identificē konkrētu notikumu. Tas ir skaitlisks identifikators, kas pievienots katram notikumam, ko reģistrējusi Windows operētājsistēma. Identifikators nodrošina informācija par notikušo notikumu, un to var izmantot, lai identificētu un novērstu ar sistēmas darbību saistītas problēmas. Notikums šajā kontekstā attiecas uz jebkuru darbību, ko sistēmā veic sistēma vai lietotājs. Šos notikumus var skatīt operētājsistēmā Windows, izmantojot notikumu skatītāju

Notikuma ID 4688 tiek reģistrēts ikreiz, kad tiek izveidots jauns process. Tas dokumentē katru mašīnas izpildīto programmu un tās identificējošos datus, tostarp veidotāju, mērķi un procesu, kas to sāka. Vairāki notikumi tiek reģistrēti ar notikuma ID 4688. Piesakoties tiek palaista sesiju pārvaldnieka apakšsistēma (SMSS.exe), un notikums 4688 tiek reģistrēts. Ja sistēma ir inficēta ar ļaunprātīgu programmatūru, tā, visticamāk, radīs jaunus procesus. Šādi procesi tiks dokumentēti ar ID 4688.

 

Izvietojiet Redmine uz Ubuntu 20.04 uz AWS

Tulkošana notikuma ID 4688

Lai interpretētu notikuma ID 4688, ir svarīgi saprast dažādus notikumu žurnālā iekļautos laukus. Šos laukus var izmantot, lai atklātu visus pārkāpumus un izsekotu procesa izcelsmi līdz tā avotam.

• Creator Subject: šajā laukā ir sniegta informācija par lietotāja kontu, kas pieprasīja jauna procesa izveidi. Šis lauks nodrošina kontekstu un var palīdzēt kriminālistikas izmeklētājiem noteikt anomālijas. Tas ietver vairākus apakšlaukus, tostarp:

• • Drošības identifikators (SID)” Saskaņā ar microsoft, SID ir unikāla vērtība, ko izmanto pilnvarnieka identificēšanai. To izmanto, lai identificētu lietotājus Windows datorā.
  • Konta nosaukums: SID tiek parādīts tā konta nosaukums, kas uzsāka jaunā procesa izveidi.
  • Konta domēns: domēns, kuram pieder dators.
  • Pieteikšanās ID: unikāla heksadecimālā vērtība, ko izmanto, lai identificētu lietotāja pieteikšanās sesiju. To var izmantot, lai korelētu notikumus, kas satur vienu un to pašu notikuma ID.

• Mērķa tēma: šajā laukā ir sniegta informācija par lietotāja kontu, kurā process darbojas. Procesa izveides notikumā minētais subjekts dažos apstākļos var atšķirties no procesa pārtraukšanas notikumā minētā subjekta. Tāpēc, ja izveidotājam un mērķim nav vienādas pieteikšanās, ir svarīgi iekļaut mērķa subjektu, lai gan tie abi atsaucas uz vienu un to pašu procesa ID. Apakšlauki ir tādi paši kā iepriekš minētā satura veidotāja priekšmeta lauki.
• Procesa informācija: šajā laukā ir sniegta detalizēta informācija par izveidoto procesu. Tas ietver vairākus apakšlaukus, tostarp:

• • New Process ID (PID): unikāla heksadecimālā vērtība, kas piešķirta jaunajam procesam. Operētājsistēma Windows to izmanto, lai sekotu līdzi aktīviem procesiem.
  • Jaunā procesa nosaukums: pilns ceļš un tā izpildāmā faila nosaukums, kas tika palaists, lai izveidotu jaunu procesu.
  • Token Evaluation Type: marķiera novērtēšana ir drošības mehānisms, ko izmanto Windows, lai noteiktu, vai lietotāja konts ir pilnvarots veikt noteiktu darbību. Tokena veids, ko process izmantos, lai pieprasītu paaugstinātas privilēģijas, tiek saukts par marķiera novērtēšanas veidu. Šim laukam ir trīs iespējamās vērtības. 1. tips (%%1936) norāda, ka process izmanto noklusējuma lietotāja pilnvaru un nav pieprasījis nekādas īpašas atļaujas. Šajā laukā tā ir visizplatītākā vērtība. 2. tips (%%1937) norāda, ka process prasīja pilnas administratora privilēģijas, lai palaistu, un tika veiksmīgi iegūtas. Kad lietotājs palaiž lietojumprogrammu vai procesu kā administrators, tas ir iespējots. 3. tips (%%1938) norāda, ka process saņēma tikai tiesības, kas nepieciešamas pieprasītās darbības veikšanai, lai gan tas pieprasīja paaugstinātas privilēģijas.

• • Obligātā etiķete: procesam piešķirta integritātes etiķete. 
  • Creator Process ID: unikāla heksadecimālā vērtība, kas piešķirta procesam, kas uzsāka jauno procesu. 
  • Radītāja procesa nosaukums: pilns ceļš un procesa nosaukums, kas izveidoja jauno procesu.
  • Procesa komandrinda: sniedz informāciju par argumentiem, kas nodoti komandai, lai uzsāktu jauno procesu. Tas ietver vairākus apakšlaukus, tostarp pašreizējo direktoriju un jaucējvārdus.

Izvietojiet GoPhish pikšķerēšanas platformu Ubuntu 18.04 AWS

Secinājumi

 

Analizējot procesu, ir svarīgi noteikt, vai tas ir likumīgs vai ļaunprātīgs. Leģitīmu procesu var viegli identificēt, aplūkojot satura veidotāja subjekta un procesa informācijas laukus. Procesa ID var izmantot, lai identificētu anomālijas, piemēram, jaunu procesu, kas ir radies no neparasta vecākprocesa. Komandrindu var izmantot arī, lai pārbaudītu procesa likumību. Piemēram, process ar argumentiem, kas ietver faila ceļu uz sensitīviem datiem, var norādīt uz ļaunprātīgu nolūku. Lauku Creator Subject var izmantot, lai noteiktu, vai lietotāja konts ir saistīts ar aizdomīgām darbībām vai tam ir paaugstinātas privilēģijas. 

Turklāt ir svarīgi saistīt notikuma ID 4688 ar citiem būtiskiem notikumiem sistēmā, lai iegūtu kontekstu par jaunizveidoto procesu. Notikuma ID 4688 var saistīt ar 5156, lai noteiktu, vai jaunais process ir saistīts ar kādiem tīkla savienojumiem. Ja jaunais process ir saistīts ar tikko instalētu pakalpojumu, notikumu 4697 (pakalpojuma instalēšana) var saistīt ar 4688, lai sniegtu papildu informāciju. Notikuma ID 5140 (faila izveide) var izmantot arī, lai identificētu visus jaunos failus, kas izveidoti ar jauno procesu.

Noslēgumā jāsaka, ka sistēmas konteksta izpratne ir potenciāla noteikšana ietekme no procesa. Procesam, kas uzsākts kritiskā serverī, ir lielāka ietekme nekā procesam, kas uzsākts atsevišķā mašīnā. Konteksts palīdz virzīt izmeklēšanu, noteikt atbildes prioritāti un pārvaldīt resursus. Analizējot dažādus notikumu žurnāla laukus un veicot korelāciju ar citiem notikumiem, anomāliem procesiem var izsekot to izcelsmei un noteikt cēloni.