Windowsi turbesündmuse ID 4688 tõlgendamine uurimise käigus

Sissejuhatus

Järgi Microsoft, sündmuse ID-d (nimetatakse ka sündmuse identifikaatoriteks) tuvastavad konkreetse sündmuse unikaalselt. See on numbriline identifikaator, mis on lisatud igale Windowsi operatsioonisüsteemi logitud sündmusele. Identifikaator annab info juhtunud sündmuse kohta ning seda saab kasutada süsteemi toimimisega seotud probleemide tuvastamiseks ja tõrkeotsinguks. Sündmus viitab selles kontekstis mis tahes toimingule, mille süsteem või kasutaja süsteemis teeb. Neid sündmusi saab Windowsis vaadata sündmustevaaturi abil

Sündmuse ID 4688 logitakse iga kord, kui luuakse uus protsess. See dokumenteerib iga masina käivitatud programmi ja selle identifitseerivad andmed, sealhulgas looja, sihtmärgi ja protsessi, mis selle käivitas. Mitmed sündmused logitakse sündmuse ID 4688 all. Sisselogimisel käivitatakse seansihalduri alamsüsteem (SMSS.exe) ja sündmus 4688 logitakse. Kui süsteem on nakatunud pahavaraga, loob pahavara tõenäoliselt töötamiseks uusi protsesse. Sellised protsessid dokumenteeritakse ID 4688 all.

 

Juurutage Redmine Ubuntu 20.04-s AWS-is

Tõlkimine Sündmuse ID 4688

Sündmuse ID 4688 tõlgendamiseks on oluline mõista sündmuste logis sisalduvaid erinevaid välju. Neid välju saab kasutada eeskirjade eiramiste tuvastamiseks ja protsessi päritolu jälgimiseks tagasi selle allikani.

• Looja teema: see väli sisaldab teavet kasutajakonto kohta, mis taotles uue protsessi loomist. See väli annab konteksti ja võib aidata kohtuekspertiisi uurijatel kõrvalekaldeid tuvastada. See sisaldab mitut alamvälja, sealhulgas:

• • Turvaidentifikaator (SID)” Vastavalt Microsoft, SID on kordumatu väärtus, mida kasutatakse usaldusisiku tuvastamiseks. Seda kasutatakse kasutajate tuvastamiseks Windowsi masinas.
  • Konto nimi: SID on lahendatud nii, et see näitab uue protsessi loomise algatanud konto nime.
  • Konto domeen: domeen, kuhu arvuti kuulub.
  • Sisselogimise ID: kordumatu kuueteistkümnendsüsteem, mida kasutatakse kasutaja sisselogimisseansi tuvastamiseks. Seda saab kasutada sama sündmuse ID-ga sündmuste korreleerimiseks.

• Sihtteema: see väli annab teavet kasutajakonto kohta, mille all protsess töötab. Protsessi loomise sündmuses mainitud subjekt võib mõnel juhul erineda protsessi lõpetamise sündmuses mainitud subjektist. Seega, kui loojal ja sihtmärgil ei ole sama sisselogimist, on oluline lisada sihtobjekt, kuigi mõlemad viitavad samale protsessi ID-le. Alamväljad on samad, mis ülaltoodud looja teemal.
• Protsessi teave: see väli sisaldab üksikasjalikku teavet loodud protsessi kohta. See sisaldab mitut alamvälja, sealhulgas:

• • Uue protsessi ID (PID): uuele protsessile määratud kordumatu kuueteistkümnendväärtus. Windowsi operatsioonisüsteem kasutab seda aktiivsete protsesside jälgimiseks.
  • Uue protsessi nimi: uue protsessi loomiseks käivitatud käivitatava faili täielik tee ja nimi.
  • Token Evaluation Type: märgi hindamine on turvamehhanism, mida Windows kasutab, et teha kindlaks, kas kasutajakontol on volitused teatud toimingu tegemiseks. Tokeni tüüpi, mida protsess kasutab kõrgendatud õiguste taotlemiseks, nimetatakse märgi hindamise tüübiks. Sellel väljal on kolm võimalikku väärtust. Tüüp 1 (%%1936) näitab, et protsess kasutab vaikimisi kasutajatunnust ega ole taotlenud eriõigusi. Selle välja puhul on see kõige levinum väärtus. Tüüp 2 (%%1937) näitab, et protsess taotles käitamiseks täielikke administraatoriõigusi ja õnnestus nende hankimisel. Kui kasutaja käivitab rakendust või protsessi administraatorina, on see lubatud. Tüüp 3 (%%1938) näitab, et protsess sai ainult taotletud toimingu tegemiseks vajalikud õigused, kuigi taotles kõrgemaid õigusi.

• • Kohustuslik märgis: protsessile määratud terviklikkuse märgis. 
  • Looja protsessi ID: kordumatu kuueteistkümnendväärtus, mis on määratud uue protsessi algatanud protsessile. 
  • Looja protsessi nimi: uue protsessi loonud protsessi täielik tee ja nimi.
  • Protsessi käsurida: pakub üksikasju uue protsessi käivitamiseks käsule edastatud argumentide kohta. See sisaldab mitut alamvälja, sealhulgas praegust kataloogi ja räsi.

Juurutage GoPhishi andmepüügiplatvorm Ubuntu 18.04-s AWS-i

Järeldus

 

Protsessi analüüsimisel on oluline kindlaks teha, kas see on seaduslik või pahatahtlik. Õiguspärase protsessi saab hõlpsasti tuvastada, vaadates looja subjekti ja protsessi teabevälju. Protsessi ID-d saab kasutada kõrvalekallete tuvastamiseks, näiteks ebatavalisest põhiprotsessist tulenev uus protsess. Käsurida saab kasutada ka protsessi legitiimsuse kontrollimiseks. Näiteks argumentidega protsess, mis sisaldab tundlike andmete failiteed, võib viidata pahatahtlikule kavatsusele. Looja teema välja abil saab määrata, kas kasutajakonto on seotud kahtlase tegevusega või sellel on kõrgendatud õigused. 

Lisaks on oluline seostada sündmuse ID 4688 muude asjakohaste sündmustega süsteemis, et saada konteksti vastloodud protsessi kohta. Sündmuse ID 4688 saab korreleerida numbriga 5156, et teha kindlaks, kas uus protsess on seotud mõne võrguühendusega. Kui uus protsess on seotud äsja installitud teenusega, saab sündmust 4697 (teenuse installimine) korreleerida sündmusega 4688, et saada lisateavet. Sündmuse ID-d 5140 (faili loomine) saab kasutada ka uue protsessiga loodud uute failide tuvastamiseks.

Kokkuvõttes tähendab süsteemi konteksti mõistmine potentsiaali kindlaksmääramist mõju protsessist. Kriitilises serveris käivitatud protsessil on tõenäoliselt suurem mõju kui eraldiseisvas masinas käivitatud protsessil. Kontekst aitab uurimist suunata, vastust prioritiseerida ja ressursse hallata. Sündmuste logi erinevaid välju analüüsides ja teiste sündmustega korrelatsiooni tehes saab anomaalseid protsesse jälgida nende tekkeni ja põhjuse välja selgitada.