Hoe om Windows Security Event ID 4688 in 'n ondersoek te interpreteer

Inleiding

Volgens Microsoft, gebeurtenis-ID's (ook genoem gebeurtenisidentifiseerders) identifiseer 'n spesifieke gebeurtenis uniek. Dit is 'n numeriese identifiseerder wat gekoppel is aan elke gebeurtenis wat deur die Windows-bedryfstelsel aangeteken is. Die identifiseerder verskaf inligting oor die gebeurtenis wat plaasgevind het en kan gebruik word om probleme met betrekking tot stelselbedrywighede te identifiseer en op te los. 'n Gebeurtenis, in hierdie konteks, verwys na enige handeling wat deur die stelsel of 'n gebruiker op 'n stelsel uitgevoer word. Hierdie gebeurtenisse kan op Windows bekyk word deur die Event Viewer te gebruik

Die gebeurtenis ID 4688 word aangeteken wanneer 'n nuwe proses geskep word. Dit dokumenteer elke program wat deur die masjien uitgevoer word en sy identifiserende data, insluitend die skepper, die teiken en die proses wat dit begin het. Verskeie gebeurtenisse word aangeteken onder die gebeurtenis ID 4688. By aanmelding word Sessie Bestuurder Substelsel (SMSS.exe) geloods, en gebeurtenis 4688 word aangeteken. As 'n stelsel deur wanware besmet is, sal die wanware waarskynlik nuwe prosesse skep om uit te voer. Sulke prosesse sal onder ID 4688 gedokumenteer word.

 

Ontplooi Redmine op Ubuntu 20.04 op AWS

Interpreteer gebeurtenis ID 4688

Om gebeurtenis ID 4688 te interpreteer, is dit belangrik om die verskillende velde wat in die gebeurtenislogboek ingesluit is, te verstaan. Hierdie velde kan gebruik word om enige onreëlmatighede op te spoor en die oorsprong van 'n proses terug na sy bron op te spoor.

• Skepperonderwerp: hierdie veld verskaf inligting oor die gebruikersrekening wat die skepping van 'n nuwe proses versoek het. Hierdie veld verskaf konteks en kan forensiese ondersoekers help om anomalieë te identifiseer. Dit sluit verskeie subvelde in, insluitend:

• • Security Identifier (SID)” Volgens Microsoft, is die SID 'n unieke waarde wat gebruik word om 'n trustee te identifiseer. Dit word gebruik om gebruikers op die Windows-masjien te identifiseer.
  • Rekeningnaam: die SID word opgelos om die naam van die rekening te wys wat die skepping van die nuwe proses geïnisieer het.
  • Rekeningdomein: die domein waaraan die rekenaar behoort.
  • Aanmelding-ID: 'n unieke heksadesimale waarde wat gebruik word om die gebruiker se aanmeldsessie te identifiseer. Dit kan gebruik word om gebeurtenisse wat dieselfde gebeurtenis-ID bevat, te korreleer.

• Teikenonderwerp: hierdie veld verskaf inligting oor die gebruikersrekening waaronder die proses loop. Die onderwerp wat in die prosesskeppingsgebeurtenis genoem word, kan in sommige omstandighede verskillend wees van die onderwerp wat in die prosesbeëindigingsgebeurtenis genoem word. Dus, wanneer die skepper en die teiken nie dieselfde aanmelding het nie, is dit belangrik om die teikenonderwerp in te sluit, alhoewel hulle albei na dieselfde proses-ID verwys. Die subvelde is dieselfde as dié van die skepper-vak hierbo.
• Prosesinligting: hierdie veld verskaf gedetailleerde inligting oor die geskepde proses. Dit sluit verskeie subvelde in, insluitend:

• • Nuwe proses-ID (PID): 'n unieke heksadesimale waarde wat aan die nuwe proses toegeken is. Die Windows-bedryfstelsel gebruik dit om tred te hou met aktiewe prosesse.
  • Nuwe prosesnaam: die volledige pad en naam van die uitvoerbare lêer wat geloods is om die nuwe proses te skep.
  • Token-evaluering Tipe: Token-evaluering is 'n sekuriteitsmeganisme wat deur Windows gebruik word om te bepaal of 'n gebruikersrekening gemagtig is om 'n spesifieke aksie uit te voer. Die tipe teken wat 'n proses sal gebruik om verhoogde voorregte aan te vra, word die "tokenevalueringstipe" genoem. Daar is drie moontlike waardes vir hierdie veld. Tipe 1 (%%1936) dui aan dat die proses die verstekgebruikertoken gebruik en geen spesiale toestemmings versoek het nie. Vir hierdie veld is dit die mees algemene waarde. Tipe 2 (%%1937) dui aan dat die proses volle administrateurregte versoek het om te loop en suksesvol was om dit te verkry. Wanneer 'n gebruiker 'n toepassing of proses as administrateur laat loop, word dit geaktiveer. Tipe 3 (%%1938) dui aan dat die proses slegs die regte ontvang het wat nodig is om die gevraagde aksie uit te voer, alhoewel dit verhoogde voorregte versoek het.

• • Verpligte etiket: 'n integriteitsetiket wat aan die proses toegeken word. 
  • Skepperproses-ID: 'n unieke heksadesimale waarde toegeken aan die proses wat die nuwe proses begin het. 
  • Skepperprosesnaam: volledige pad en naam van die proses wat die nuwe proses geskep het.
  • Proses Command Line: verskaf besonderhede oor die argumente wat in die opdrag oorgedra is om die nuwe proses te begin. Dit bevat verskeie subvelde, insluitend die huidige gids en hashes.

Ontplooi GoPhish Phishing Platform op Ubuntu 18.04 in AWS

Gevolgtrekking

 

Wanneer 'n proses ontleed word, is dit noodsaaklik om te bepaal of dit wettig of kwaadwillig is. 'n Wettige proses kan maklik geïdentifiseer word deur na die skepperonderwerp en prosesinligtingvelde te kyk. Proses-ID kan gebruik word om anomalieë te identifiseer, soos 'n nuwe proses wat voortspruit uit 'n ongewone ouerproses. Die opdragreël kan ook gebruik word om die legitimiteit van 'n proses te verifieer. Byvoorbeeld, 'n proses met argumente wat 'n lêerpad na sensitiewe data insluit, kan kwaadwillige bedoelings aandui. Die Skepperonderwerp-veld kan gebruik word om te bepaal of die gebruikersrekening met verdagte aktiwiteit geassosieer word of verhoogde voorregte het. 

Verder is dit belangrik om gebeurtenis ID 4688 met ander relevante gebeurtenisse in die stelsel te korreleer om konteks oor die nuutgeskepte proses te verkry. Gebeurtenis-ID 4688 kan met 5156 gekorreleer word om te bepaal of die nuwe proses met enige netwerkverbindings geassosieer word. As die nuwe proses met 'n nuut geïnstalleerde diens geassosieer word, kan gebeurtenis 4697 (diensinstallasie) met 4688 gekorreleer word om bykomende inligting te verskaf. Gebeurtenis-ID 5140 (lêerskepping) kan ook gebruik word om enige nuwe lêers wat deur die nuwe proses geskep is, te identifiseer.

Ten slotte, om die konteks van die sisteem te verstaan ​​is om die potensiaal te bepaal impak van die proses. 'n Proses wat op 'n kritieke bediener begin word, sal waarskynlik 'n groter impak hê as een wat op 'n selfstandige masjien geloods word. Konteks help om die ondersoek te rig, reaksie te prioritiseer en hulpbronne te bestuur. Deur die verskillende velde in die gebeurtenislog te ontleed en korrelasie met ander gebeurtenisse uit te voer, kan afwykende prosesse na hul oorsprong herlei en die oorsaak bepaal word.