Cum se interpretează ID-ul evenimentului de securitate Windows 4688 într-o investigație

Introducere

În conformitate cu Microsoft, ID-urile de eveniment (numite și identificatori de eveniment) identifică în mod unic un anumit eveniment. Este un identificator numeric atașat fiecărui eveniment înregistrat de sistemul de operare Windows. Identificatorul furnizează informații despre evenimentul care a avut loc și poate fi utilizat pentru a identifica și depana probleme legate de operațiunile sistemului. Un eveniment, în acest context, se referă la orice acțiune efectuată de sistem sau de un utilizator pe un sistem. Aceste evenimente pot fi vizualizate pe Windows folosind Vizualizatorul de evenimente

ID-ul evenimentului 4688 este înregistrat ori de câte ori este creat un nou proces. Documentează fiecare program executat de mașină și datele sale de identificare, inclusiv creatorul, ținta și procesul care l-a pornit. Mai multe evenimente sunt înregistrate sub ID-ul evenimentului 4688. La conectare, se lansează Session Manager Subsystem (SMSS.exe) și evenimentul 4688 este înregistrat. Dacă un sistem este infectat cu programe malware, este probabil ca acesta să creeze noi procese de rulat. Astfel de procese ar fi documentate sub ID 4688.

 

Implementați Redmine pe Ubuntu 20.04 pe AWS

Interpretarea evenimentului ID 4688

Pentru a interpreta ID-ul evenimentului 4688, este important să înțelegeți diferitele câmpuri incluse în jurnalul de evenimente. Aceste câmpuri pot fi folosite pentru a detecta orice nereguli și pentru a urmări originea unui proces până la sursa acestuia.

• Subiectul creatorului: acest câmp oferă informații despre contul de utilizator care a solicitat crearea unui nou proces. Acest câmp oferă context și poate ajuta anchetatorii criminaliști să identifice anomalii. Acesta include mai multe subcâmpuri, inclusiv:

• • Identificator de securitate (SID)” Conform Microsoft, SID-ul este o valoare unică utilizată pentru a identifica un mandatar. Este folosit pentru a identifica utilizatorii pe computerul Windows.
  • Nume cont: SID-ul este rezolvat pentru a afișa numele contului care a inițiat crearea noului proces.
  • Domeniul contului: domeniul căruia îi aparține computerul.
  • ID de conectare: o valoare hexazecimală unică care este utilizată pentru a identifica sesiunea de conectare a utilizatorului. Poate fi folosit pentru a corela evenimente care conțin același ID de eveniment.

• Subiect țintă: acest câmp oferă informații despre contul de utilizator sub care rulează procesul. Subiectul menționat în evenimentul de creare a procesului poate, în anumite circumstanțe, să fie distinct de subiectul menționat în evenimentul de terminare a procesului. Deci, atunci când creatorul și ținta nu au aceeași conectare, este important să includeți subiectul țintă, chiar dacă ambii fac referire la același ID de proces. Subcâmpurile sunt aceleași cu cele ale subiectului creator de mai sus.
• Informații despre proces: acest câmp oferă informații detaliate despre procesul creat. Acesta include mai multe subcâmpuri, inclusiv:

• • New Process ID (PID): o valoare hexazecimală unică atribuită noului proces. Sistemul de operare Windows îl folosește pentru a ține evidența proceselor active.
  • New Process Name: calea completă și numele fișierului executabil care a fost lansat pentru a crea noul proces.
  • Tip de evaluare a simbolului: evaluarea simbolului este un mecanism de securitate utilizat de Windows pentru a determina dacă un cont de utilizator este autorizat să efectueze o anumită acțiune. Tipul de simbol pe care un proces îl va folosi pentru a solicita privilegii ridicate se numește „tip de evaluare a simbolului”. Există trei valori posibile pentru acest câmp. Tipul 1 (%%1936) indică faptul că procesul folosește simbolul de utilizator implicit și nu a solicitat nicio permisiune specială. Pentru acest domeniu, este cea mai comună valoare. Tipul 2 (%%1937) indică faptul că procesul a cerut privilegii complete de administrator pentru a rula și a reușit să le obțină. Când un utilizator rulează o aplicație sau un proces ca administrator, acesta este activat. Tipul 3 (%%1938) indică faptul că procesul a primit doar drepturile necesare pentru a efectua acțiunea solicitată, chiar dacă a solicitat privilegii ridicate.

• • Etichetă obligatorie: o etichetă de integritate atribuită procesului. 
  • Creator Process ID: o valoare hexazecimală unică atribuită procesului care a inițiat noul proces. 
  • Creator Process Name: calea completă și numele procesului care a creat noul proces.
  • Linia de comandă a procesului: oferă detalii despre argumentele transmise în comandă pentru a iniția noul proces. Include mai multe subcâmpuri, inclusiv directorul curent și hashuri.

Implementați platforma de phishing GoPhish pe Ubuntu 18.04 în AWS

Concluzie

 

Când se analizează un proces, este vital să se determine dacă este legitim sau rău intenționat. Un proces legitim poate fi identificat cu ușurință analizând subiectul creatorului și câmpurile de informații despre proces. ID-ul procesului poate fi folosit pentru a identifica anomalii, cum ar fi un proces nou generat dintr-un proces părinte neobișnuit. Linia de comandă poate fi folosită și pentru a verifica legitimitatea unui proces. De exemplu, un proces cu argumente care include o cale de fișier către date sensibile poate indica intenție rău intenționată. Câmpul Subiectul creatorului poate fi folosit pentru a determina dacă contul de utilizator este asociat cu o activitate suspectă sau are privilegii ridicate. 

În plus, este important să se coreleze evenimentul ID 4688 cu alte evenimente relevante din sistem pentru a obține context despre procesul nou creat. ID-ul evenimentului 4688 poate fi corelat cu 5156 pentru a determina dacă noul proces este asociat cu conexiuni de rețea. Dacă noul proces este asociat cu un serviciu nou instalat, evenimentul 4697 (instalare serviciu) poate fi corelat cu 4688 pentru a oferi informații suplimentare. ID-ul evenimentului 5140 (crearea fișierului) poate fi folosit și pentru a identifica orice fișiere noi create de noul proces.

În concluzie, înțelegerea contextului sistemului înseamnă a determina potențialul Impactul a procesului. Un proces inițiat pe un server critic este probabil să aibă un impact mai mare decât unul lansat pe o mașină autonomă. Contextul ajută la dirijarea investigației, la prioritizarea răspunsului și la gestionarea resurselor. Analizând diferitele câmpuri din jurnalul de evenimente și efectuând corelarea cu alte evenimente, procesele anormale pot fi urmărite până la originea lor și se poate determina cauza.