Hvordan tolke Windows Security Event ID 4688 i en undersøkelse
Introduksjon
Ifølge Microsoft, hendelses-IDer (også kalt hendelsesidentifikatorer) identifiserer unikt en bestemt hendelse. Det er en numerisk identifikator knyttet til hver hendelse logget av Windows-operativsystemet. Identifikatoren gir informasjon om hendelsen som skjedde og kan brukes til å identifisere og feilsøke problemer knyttet til systemoperasjoner. En hendelse, i denne sammenheng, refererer til enhver handling utført av systemet eller en bruker på et system. Disse hendelsene kan vises på Windows ved hjelp av Event Viewer
Hendelse-ID 4688 logges hver gang en ny prosess opprettes. Den dokumenterer hvert program som kjøres av maskinen og dens identifiserende data, inkludert skaperen, målet og prosessen som startet det. Flere hendelser logges under hendelses-ID 4688. Ved innlogging, Session Manager Subsystem (SMSS.exe) startes, og hendelse 4688 logges. Hvis et system er infisert av skadelig programvare, vil skadelig programvare sannsynligvis skape nye prosesser for å kjøre. Slike prosesser vil bli dokumentert under ID 4688.
Tolking av hendelses-ID 4688
For å tolke hendelses-ID 4688 er det viktig å forstå de ulike feltene som er inkludert i hendelsesloggen. Disse feltene kan brukes til å oppdage eventuelle uregelmessigheter og spore opprinnelsen til en prosess tilbake til kilden.
- Skaperemne: dette feltet gir informasjon om brukerkontoen som ba om å opprette en ny prosess. Dette feltet gir kontekst og kan hjelpe rettsmedisinske etterforskere med å identifisere uregelmessigheter. Den inkluderer flere underfelt, inkludert:
- Security Identifier (SID)” I følge Microsoft, er SID en unik verdi som brukes til å identifisere en tillitsmann. Den brukes til å identifisere brukere på Windows-maskinen.
- Kontonavn: SID-en er løst for å vise navnet på kontoen som startet opprettelsen av den nye prosessen.
- Kontodomene: domenet datamaskinen tilhører.
- Påloggings-ID: en unik heksadesimal verdi som brukes til å identifisere brukerens påloggingsøkt. Den kan brukes til å korrelere hendelser som inneholder samme hendelses-ID.
- Målemne: dette feltet gir informasjon om brukerkontoen prosessen kjører under. Emnet nevnt i prosessopprettingshendelsen kan i noen tilfeller være forskjellig fra emnet nevnt i prosessavslutningshendelsen. Så når skaperen og målet ikke har samme pålogging, er det viktig å inkludere målemnet selv om de begge refererer til samme prosess-ID. Underfeltene er de samme som for skaperemnet ovenfor.
- Prosessinformasjon: dette feltet gir detaljert informasjon om den opprettede prosessen. Den inkluderer flere underfelt, inkludert:
- Ny prosess-ID (PID): en unik heksadesimal verdi tilordnet den nye prosessen. Windows-operativsystemet bruker det til å holde styr på aktive prosesser.
- Nytt prosessnavn: den fullstendige banen og navnet på den kjørbare filen som ble lansert for å opprette den nye prosessen.
- Token-evalueringstype: Token-evaluering er en sikkerhetsmekanisme som brukes av Windows for å avgjøre om en brukerkonto er autorisert til å utføre en bestemt handling. Typen token en prosess vil bruke for å be om økte privilegier, kalles "tokenevalueringstypen." Det er tre mulige verdier for dette feltet. Type 1 (%%1936) angir at prosessen bruker standard brukertoken og ikke har bedt om noen spesielle tillatelser. For dette feltet er det den vanligste verdien. Type 2 (%%1937) angir at prosessen ba om fulle administratorrettigheter for å kjøre og lyktes med å skaffe dem. Når en bruker kjører en applikasjon eller prosess som administrator, er den aktivert. Type 3 (%%1938) angir at prosessen bare mottok rettighetene som kreves for å utføre den forespurte handlingen, selv om den ba om økte rettigheter.
- Obligatorisk etikett: en integritetsetikett tildelt prosessen.
- Skaperprosess-ID: en unik heksadesimal verdi tilordnet prosessen som startet den nye prosessen.
- Skaperprosessnavn: fullstendig bane og navn på prosessen som opprettet den nye prosessen.
- Process Command Line: gir detaljer om argumentene som sendes inn i kommandoen for å starte den nye prosessen. Den inkluderer flere underfelt, inkludert gjeldende katalog og hashes.
konklusjonen
Når du analyserer en prosess, er det viktig å avgjøre om den er legitim eller ondsinnet. En legitim prosess kan enkelt identifiseres ved å se på skaperens emne og prosessinformasjonsfelt. Prosess-ID kan brukes til å identifisere uregelmessigheter, som for eksempel at en ny prosess kommer fra en uvanlig overordnet prosess. Kommandolinjen kan også brukes til å bekrefte legitimiteten til en prosess. For eksempel kan en prosess med argumenter som inkluderer en filbane til sensitive data indikere ondsinnet hensikt. Skaperemne-feltet kan brukes til å finne ut om brukerkontoen er knyttet til mistenkelig aktivitet eller har forhøyede rettigheter.
Videre er det viktig å korrelere hendelses-ID 4688 med andre relevante hendelser i systemet for å få kontekst om den nyopprettede prosessen. Hendelses-ID 4688 kan korreleres med 5156 for å bestemme om den nye prosessen er knyttet til noen nettverkstilkoblinger. Hvis den nye prosessen er knyttet til en nylig installert tjeneste, kan hendelse 4697 (tjenesteinstallasjon) korreleres med 4688 for å gi tilleggsinformasjon. Event ID 5140 (filoppretting) kan også brukes til å identifisere eventuelle nye filer som er opprettet av den nye prosessen.
Avslutningsvis er å forstå konteksten til systemet å bestemme potensialet innvirkning av prosessen. En prosess initiert på en kritisk server vil sannsynligvis ha større innvirkning enn en som startes på en frittstående maskin. Kontekst hjelper med å styre etterforskningen, prioritere respons og administrere ressurser. Ved å analysere de forskjellige feltene i hendelsesloggen og utføre korrelasjon med andre hendelser, kan unormale prosesser spores til deres opprinnelse og årsaken bestemmes.
