Како да се толкува ID 4688 на безбедносен настан на Windows во истрага

Вовед

Според Мајкрософт, ИД на настани (исто така наречени идентификатори на настани) уникатно идентификуваат одреден настан. Тоа е нумерички идентификатор прикачен на секој настан регистриран од оперативниот систем Windows. Идентификаторот обезбедува информации за настанот што се случил и може да се користи за идентификување и решавање проблеми поврзани со системските операции. Настанот, во овој контекст, се однесува на секое дејство извршено од системот или корисникот на системот. Овие настани може да се гледаат на Windows со помош на Прегледувачот на настани

Настанот ID 4688 се евидентира секогаш кога се креира нов процес. Ја документира секоја програма извршена од машината и нејзините податоци за идентификација, вклучувајќи го создавачот, целта и процесот што ја започнал. Неколку настани се евидентирани под ИД 4688 на настанот. По најавувањето, се активира потсистем за менаџер на сесии (SMSS.exe), а настанот 4688 е евидентиран. Ако системот е заразен со малициозен софтвер, малициозниот софтвер најверојатно ќе создаде нови процеси за извршување. Таквите процеси ќе бидат документирани под ID 4688.

 

Распоредете го Redmine на Ubuntu 20.04 на AWS

ИД за толкување на настанот 4688

За да се интерпретира ID 4688 на настанот, важно е да се разберат различните полиња вклучени во дневникот на настани. Овие полиња може да се користат за откривање на какви било неправилности и следење на потеклото на процесот назад до неговиот извор.

• Тема на создавач: ова поле дава информации за корисничката сметка што побарала создавање нов процес. Ова поле дава контекст и може да им помогне на форензичарите да идентификуваат аномалии. Вклучува неколку подполиња, вклучувајќи:

• • Безбедносен идентификатор (SID)“ Според Мајкрософт, SID е единствена вредност што се користи за идентификување на trustee. Се користи за идентификација на корисници на машината со Windows.
  • Име на сметка: SID е решен да го прикаже името на сметката што го иницираше создавањето на новиот процес.
  • Домен на сметка: доменот на кој припаѓа компјутерот.
  • ID на најавување: единствена хексадецимална вредност што се користи за да се идентификува сесијата за најавување на корисникот. Може да се користи за корелација на настани што го содржат истиот ID на настан.

• Целна тема: ова поле дава информации за корисничката сметка под која се извршува процесот. Темата спомната во настанот за создавање процес може, во некои околности, да се разликува од предметот споменат во настанот за завршување на процесот. Значи, кога создавачот и целта немаат исто најавување, важно е да се вклучи целниот субјект иако и двајцата упатуваат на истиот процесен ID. Подполињата се исти како оние на темата за создавачот погоре.
• Информации за процесот: ова поле дава детални информации за креираниот процес. Вклучува неколку подполиња, вклучувајќи:

• • ИД на нов процес (PID): единствена хексадецимална вредност доделена на новиот процес. Оперативниот систем Виндоус го користи за следење на активните процеси.
  • Ново име на процес: целосната патека и името на извршната датотека што беше лансирана за да се создаде новиот процес.
  • Тип на евалуација на токени: евалуацијата на токените е безбедносен механизам што го користи Windows за да утврди дали корисничката сметка е овластена да изврши одредена акција. Типот на токен што ќе го користи процесот за да побара зголемени привилегии се нарекува „тип на проценка на токен“. Постојат три можни вредности за ова поле. Тип 1 (%%1936) означува дека процесот го користи стандардниот кориснички токен и не побарал никакви посебни дозволи. За ова поле, таа е најчестата вредност. Тип 2 (%%1937) означува дека процесот барал целосни администраторски привилегии за извршување и бил успешен во нивно добивање. Кога корисникот работи апликација или процес како администратор, тој е овозможен. Тип 3 (%%1938) означува дека процесот ги добил само правата потребни за извршување на бараното дејство, иако барал зголемени привилегии.

• • Задолжителна ознака: ознака за интегритет доделена на процесот. 
  • ID на процес на создавач: единствена хексадецимална вредност доделена на процесот што го иницираше новиот процес. 
  • Име на процес на создавач: целосна патека и име на процесот што го создал новиот процес.
  • Процесна командна линија: обезбедува детали за аргументите пренесени во командата за иницирање на новиот процес. Вклучува неколку подполиња вклучувајќи го тековниот директориум и хашовите.

Распоредете ја платформата за фишинг GoPhish на Ubuntu 18.04 во AWS

Заклучок

 

Кога се анализира процес, од витално значење е да се утврди дали е легитимен или злонамерен. Легитимниот процес може лесно да се идентификува со гледање на полињата со информации за темата и процесот на создавачот. Процесот ID може да се користи за да се идентификуваат аномалии, како што е нов процес што е предизвикан од невообичаен родителски процес. Командната линија може да се користи и за да се потврди легитимноста на процесот. На пример, процес со аргументи што вклучува патека на датотека до чувствителни податоци може да укаже на злонамерна намера. Полето Creator Subject може да се користи за да се утврди дали корисничката сметка е поврзана со сомнителна активност или има зголемени привилегии. 

Понатаму, важно е да се поврзе ИД на настанот 4688 со други релевантни настани во системот за да се добие контекст за новосоздадениот процес. ИД на настанот 4688 може да се поврзе со 5156 за да се утврди дали новиот процес е поврзан со некоја мрежна врска. Ако новиот процес е поврзан со новоинсталирана услуга, настанот 4697 (инсталација на услугата) може да се поврзе со 4688 за да обезбеди дополнителни информации. ИД на настанот 5140 (креирање датотека) може да се користи и за да се идентификуваат сите нови датотеки создадени со новиот процес.

Како заклучок, разбирањето на контекстот на системот е да се одреди потенцијалот влијание на процесот. Процесот инициран на критичен сервер веројатно ќе има поголемо влијание од оној што е лансиран на самостојна машина. Контекстот помага да се насочи истрагата, да се даде приоритет на одговорот и да се управува со ресурсите. Со анализа на различните полиња во дневникот на настани и вршење корелација со други настани, аномалните процеси може да се следат до нивното потекло и да се утврди причината.