Как да интерпретирате събитие за сигурност на Windows ID 4688 в разследване

Въведение

Според Microsoft, идентификаторите на събития (наричани също идентификатори на събития) уникално идентифицират конкретно събитие. Това е цифров идентификатор, прикрепен към всяко събитие, регистрирано от операционната система Windows. Идентификаторът предоставя информация относно настъпилото събитие и може да се използва за идентифициране и отстраняване на проблеми, свързани със системните операции. Събитие в този контекст се отнася до всяко действие, извършено от системата или потребител на система. Тези събития могат да се видят в Windows с помощта на Event Viewer

Идентификаторът на събитието 4688 се записва всеки път, когато се създава нов процес. Той документира всяка програма, изпълнена от машината, и нейните идентифициращи данни, включително създателя, целта и процеса, който я е стартирал. Няколко събития се регистрират под идентификатор на събитие 4688. При влизане се стартира подсистемата за управление на сесии (SMSS.exe) и се регистрира събитие 4688. Ако дадена система е заразена от злонамерен софтуер, има вероятност злонамереният софтуер да създаде нови процеси за изпълнение. Такива процеси ще бъдат документирани под ID 4688.

 

Разположете Redmine на Ubuntu 20.04 на AWS

Тълкуване на събитие ID 4688

За да интерпретирате събитие ID 4688, е важно да разберете различните полета, включени в регистрационния файл на събитията. Тези полета могат да се използват за откриване на всякакви нередности и проследяване на произхода на процеса до неговия източник.

• Тема на създателя: това поле предоставя информация за потребителския акаунт, който е поискал създаването на нов процес. Това поле предоставя контекст и може да помогне на криминалистите да идентифицират аномалии. То включва няколко подполета, включително:

• • Идентификатор за сигурност (SID)” Според Microsoft, SID е уникална стойност, използвана за идентифициране на попечител. Използва се за идентифициране на потребители на Windows машина.
  • Име на акаунт: SID е разрешен да показва името на акаунта, който е инициирал създаването на новия процес.
  • Домейн на акаунта: домейнът, към който принадлежи компютърът.
  • ID за влизане: уникална шестнадесетична стойност, която се използва за идентифициране на сесията за влизане на потребителя. Може да се използва за корелиране на събития, които съдържат един и същ идентификатор на събитие.

• Target Subject: това поле предоставя информация за потребителския акаунт, под който се изпълнява процесът. Субектът, споменат в събитието за създаване на процес, може при някои обстоятелства да бъде различен от субекта, споменат в събитието за прекратяване на процеса. Така че, когато създателят и целта нямат едно и също влизане, важно е да включите целевия субект, въпреки че и двамата препращат към един и същ идентификатор на процес. Подполетата са същите като тези на темата на създателя по-горе.
• Информация за процеса: това поле предоставя подробна информация за създадения процес. То включва няколко подполета, включително:

• • Нов идентификатор на процес (PID): уникална шестнадесетична стойност, присвоена на новия процес. Операционната система Windows го използва, за да следи активните процеси.
  • Име на нов процес: пълният път и име на изпълнимия файл, който е стартиран за създаване на новия процес.
  • Тип оценка на токена: оценката на токена е защитен механизъм, използван от Windows, за да определи дали даден потребителски акаунт е упълномощен да извърши определено действие. Типът токен, който процесът ще използва, за да поиска повишени привилегии, се нарича „тип оценка на токена“. Има три възможни стойности за това поле. Тип 1 (%%1936) означава, че процесът използва потребителския маркер по подразбиране и не е поискал никакви специални разрешения. За това поле това е най-често срещаната стойност. Тип 2 (%%1937) означава, че процесът е поискал пълни администраторски привилегии за изпълнение и е успял да ги получи. Когато потребител стартира приложение или процес като администратор, той е активиран. Тип 3 (%%1938) означава, че процесът е получил само правата, необходими за извършване на исканото действие, въпреки че е поискал повишени привилегии.

• • Задължителен етикет: етикет за интегритет, присвоен на процеса. 
  • Creator Process ID: уникална шестнадесетична стойност, присвоена на процеса, който е инициирал новия процес. 
  • Creator Process Name: пълен път и име на процеса, който е създал новия процес.
  • Команден ред на процеса: предоставя подробности за аргументите, предадени в командата за иницииране на новия процес. Той включва няколко подполета, включително текущата директория и хешове.

Разположете GoPhish Phishing Platform на Ubuntu 18.04 в AWS

Заключение

 

Когато анализирате процес, жизненоважно е да определите дали е легитимен или злонамерен. Легитимен процес може лесно да бъде идентифициран, като се разгледат полетата с информация за темата на създателя и процеса. ID на процес може да се използва за идентифициране на аномалии, като например нов процес, създаден от необичаен родителски процес. Командният ред може да се използва и за проверка на легитимността на процес. Например, процес с аргументи, който включва файлов път до чувствителни данни, може да означава злонамерено намерение. Полето Тема на създателя може да се използва, за да се определи дали потребителският акаунт е свързан с подозрителна дейност или има повишени привилегии. 

Освен това е важно да се свърже събитие ID 4688 с други подходящи събития в системата, за да се получи контекст за новосъздадения процес. Събитие ID 4688 може да се свърже с 5156, за да се определи дали новият процес е свързан с мрежови връзки. Ако новият процес е свързан с новоинсталирана услуга, събитие 4697 (инсталиране на услуга) може да бъде свързано с 4688, за да предостави допълнителна информация. Събитие ID 5140 (създаване на файл) може също да се използва за идентифициране на всички нови файлове, създадени от новия процес.

В заключение, разбирането на контекста на системата е да се определи потенциалът въздействие на процеса. Процес, иницииран на критичен сървър, вероятно ще има по-голямо въздействие от този, стартиран на самостоятелна машина. Контекстът помага за насочване на разследването, приоритизиране на реакцията и управление на ресурсите. Чрез анализиране на различните полета в регистъра на събитията и извършване на корелация с други събития, аномалните процеси могат да бъдат проследени до техния произход и да се определи причината.