Kif Tinterpreta l-ID tal-Avveniment tas-Sigurtà tal-Windows 4688 f'Investigazzjoni

12 xhur ilu

Kif Tinterpreta l-ID tal-Avveniment tas-Sigurtà tal-Windows 4688 f'Investigazzjoni

introduzzjoni

Skond Microsoft, l-IDs tal-avvenimenti (imsejħa wkoll identifikaturi tal-avvenimenti) jidentifikaw b'mod uniku avveniment partikolari. Huwa identifikatur numeriku mehmuż ma' kull avveniment illoggjat mis-sistema operattiva Windows. L-identifikatur jipprovdi informazzjoni dwar l-avveniment li seħħ u jistgħu jintużaw biex jiġu identifikati u ssolvi problemi relatati mal-operazzjonijiet tas-sistema. Avveniment, f'dan il-kuntest, jirreferi għal kwalunkwe azzjoni mwettqa mis-sistema jew minn utent fuq sistema. Dawn l-avvenimenti jistgħu jidhru fuq il-Windows bl-użu tal-Event Viewer

L-ID tal-avveniment 4688 jiġi rreġistrat kull meta jinħoloq proċess ġdid. Jiddokumenta kull programm esegwit mill-magna u d-dejta ta 'identifikazzjoni tagħha, inkluż il-kreatur, il-mira, u l-proċess li bedah. Diversi avvenimenti huma rreġistrati taħt l-ID tal-avveniment 4688. Mal-login, tiġi mnedija Session Manager Subsystem (SMSS.exe), u l-avveniment 4688 jiġi illoggjat. Jekk sistema tkun infettata b'malware, il-malware x'aktarx joħloq proċessi ġodda biex jitħaddem. Tali proċessi jkunu dokumentati taħt ID 4688.

Uża Redmine fuq Ubuntu 20.04 fuq AWS

Interpretazzjoni tal-Avveniment ID 4688

Sabiex tinterpreta l-avveniment ID 4688, huwa importanti li tifhem l-oqsma differenti inklużi fir-reġistru tal-avvenimenti. Dawn l-oqsma jistgħu jintużaw biex jiskopru kwalunkwe irregolarità u jsegwu l-oriġini ta 'proċess lura għas-sors tiegħu.

Suġġett tal-Ħallieq: dan il-qasam jipprovdi informazzjoni dwar il-kont tal-utent li talab il-ħolqien ta' proċess ġdid. Dan il-qasam jipprovdi kuntest u jista' jgħin lill-investigaturi forensiċi jidentifikaw anomaliji. Jinkludi diversi subfields, inklużi:

- Identifikatur tas-Sigurtà (SID)” Skont Microsoft, is-SID huwa valur uniku użat biex jiġi identifikat trustee. Jintuża biex jidentifika l-utenti fuq il-magna tal-Windows.
- Isem tal-Kont: is-SID huwa riżolt biex juri l-isem tal-kont li beda l-ħolqien tal-proċess il-ġdid.
- Dominju tal-Kont: id-dominju li jappartjeni għalih il-kompjuter.
- Logon ID: valur eżadeċimali uniku li jintuża biex jidentifika s-sessjoni tal-logon tal-utent. Tista' tintuża biex tikkorrelata avvenimenti li fihom l-istess ID tal-avveniment.

Suġġett fil-mira: dan il-qasam jipprovdi informazzjoni dwar il-kont tal-utent li fih ikun qed jaħdem il-proċess. Is-suġġett imsemmi fl-avveniment tal-ħolqien tal-proċess jista', f'xi ċirkostanzi, ikun distint mis-suġġett imsemmi fl-avveniment tat-terminazzjoni tal-proċess. Għalhekk, meta l-kreatur u l-mira ma jkollhomx l-istess logon, huwa importanti li jiġi inkluż is-suġġett fil-mira minkejja li t-tnejn jirreferu għall-istess ID tal-proċess. Is-subfields huma l-istess bħal dawk tas-suġġett kreatur hawn fuq.
Informazzjoni dwar il-Proċess: dan il-qasam jipprovdi informazzjoni dettaljata dwar il-proċess maħluq. Jinkludi diversi subfields, inklużi:

- New Process ID (PID): valur eżadeċimali uniku assenjat lill-proċess il-ġdid. Is-sistema operattiva Windows tużaha biex iżżomm kont tal-proċessi attivi.
- Isem tal-Proċess Ġdid: it-triq sħiħa u l-isem tal-fajl eżekutibbli li tnieda biex jinħoloq il-proċess il-ġdid.
- Tip ta' Evalwazzjoni tat-Token: l-evalwazzjoni tat-token hija mekkaniżmu ta' sigurtà użat mill-Windows biex jiddetermina jekk kont tal-utent huwiex awtorizzat li jwettaq azzjoni partikolari. It-tip ta’ token li proċess se juża biex jitlob privileġġi elevati jissejjaħ “it-tip ta’ evalwazzjoni tat-token”. Hemm tliet valuri possibbli għal dan il-qasam. Tip 1 (%%1936) jindika li l-proċess qed juża t-token tal-utent default u ma talab l-ebda permess speċjali. Għal dan il-qasam, huwa l-aktar valur komuni. It-Tip 2 (%%1937) jindika li l-proċess talab privileġġi sħaħ ta' amministratur biex jaħdem u rnexxielu jiksebhom. Meta utent imexxi applikazzjoni jew proċess bħala amministratur, ikun attivat. It-Tip 3 (%%1938) jindika li l-proċess irċieva biss id-drittijiet meħtieġa biex titwettaq l-azzjoni mitluba, minkejja li talab privileġġi elevati.

- Tikketta Obbligatorja: tikketta ta' integrità assenjata lill-proċess.
- ID tal-Proċess tal-Ħallieq: valur eżadeċimali uniku assenjat lill-proċess li beda l-proċess il-ġdid.
- Isem tal-Proċess tal-Ħallieq: mogħdija sħiħa u isem tal-proċess li ħoloq il-proċess il-ġdid.
- Linja tal-Kmand tal-Proċess: tipprovdi dettalji dwar l-argumenti mgħoddija fil-kmand biex jinbeda l-proċess il-ġdid. Jinkludi diversi subfields inkluż id-direttorju kurrenti u l-hashes.

Skjerament GoPhish Phishing Platform fuq Ubuntu 18.04 f'AWS

konklużjoni

Meta jiġi analizzat proċess, huwa vitali li jiġi determinat jekk huwiex leġittimu jew malizzjuż. Proċess leġittimu jista' faċilment jiġi identifikat billi tħares lejn is-suġġett tal-kreatur u l-oqsma tal-informazzjoni tal-proċess. L-ID tal-Proċess tista' tintuża biex tidentifika anomaliji, bħal proċess ġdid li qed jitnissel minn proċess ġenitur mhux tas-soltu. Il-linja tal-kmand tista 'tintuża wkoll biex tivverifika l-leġittimità ta' proċess. Pereżempju, proċess b'argumenti li jinkludi mogħdija tal-fajl għal data sensittiva jista' jindika intenzjoni malizzjuża. Il-qasam tas-Suġġett tal-Ħallieq jista' jintuża biex jiddetermina jekk il-kont tal-utent huwiex assoċjat ma' attività suspettuża jew għandux privileġġi elevati.

Barra minn hekk, huwa importanti li tikkorrelata l-avveniment ID 4688 ma 'avvenimenti rilevanti oħra fis-sistema biex jinkiseb kuntest dwar il-proċess maħluq ġdid. L-ID tal-avveniment 4688 jista 'jiġi korrelatat ma' 5156 biex jiddetermina jekk il-proċess il-ġdid huwiex assoċjat ma 'xi konnessjonijiet tan-netwerk. Jekk il-proċess il-ġdid ikun assoċjat ma' servizz li għadu kif ġie installat, l-avveniment 4697 (installazzjoni tas-servizz) jista' jiġi korrelatat ma' 4688 biex jipprovdi informazzjoni addizzjonali. Event ID 5140 (ħolqien ta' fajls) tista' tintuża wkoll biex tidentifika kwalunkwe fajl ġdid maħluqa mill-proċess il-ġdid.

Bħala konklużjoni, il-fehim tal-kuntest tas-sistema huwa li jiġi ddeterminat il-potenzjal impatt tal-proċess. Proċess mibdi fuq server kritiku x'aktarx ikollu impatt akbar minn wieħed imniedi fuq magna waħedha. Il-kuntest jgħin jidderieġi l-investigazzjoni, jipprijoritizza r-rispons u jimmaniġġja r-riżorsi. Billi jiġu analizzati l-oqsma differenti fir-reġistru tal-avvenimenti u billi twettaq korrelazzjoni ma 'avvenimenti oħra, proċessi anomali jistgħu jiġu rintraċċati għall-oriġini tagħhom u l-kawża tiġi ddeterminata.