Jak interpretovat ID události zabezpečení systému Windows 4688 ve vyšetřování
Úvod
Podle MicrosoftID událostí (nazývané také identifikátory událostí) jednoznačně identifikují konkrétní událost. Je to číselný identifikátor připojený ke každé události zaznamenané operačním systémem Windows. Identifikátor poskytuje informace o události, ke které došlo, a lze je použít k identifikaci a odstraňování problémů souvisejících s provozem systému. Událostí se v tomto kontextu rozumí jakákoliv akce provedená systémem nebo uživatelem v systému. Tyto události lze zobrazit v systému Windows pomocí Prohlížeče událostí
Událost ID 4688 je zaznamenána při každém vytvoření nového procesu. Dokumentuje každý program spuštěný strojem a jeho identifikační data, včetně tvůrce, cíle a procesu, který jej spustil. Několik událostí je zaznamenáno pod ID události 4688. Po přihlášení Spustí se subsystém správce relací (SMSS.exe) a zaprotokoluje se událost 4688. Pokud je systém napaden malwarem, malware pravděpodobně vytvoří nové procesy, které se spustí. Takové procesy by byly zdokumentovány pod ID 4688.
Interpretace události ID 4688
Aby bylo možné interpretovat událost ID 4688, je důležité porozumět různým polím zahrnutým v protokolu událostí. Tato pole lze použít k detekci jakýchkoli nesrovnalostí a sledování původu procesu zpět k jeho zdroji.
- Creator Subject: toto pole poskytuje informace o uživatelském účtu, který požadoval vytvoření nového procesu. Toto pole poskytuje kontext a může pomoci forenzním vyšetřovatelům identifikovat anomálie. Zahrnuje několik podpolí, včetně:
- Bezpečnostní identifikátor (SID)” Podle Microsoft, SID je jedinečná hodnota používaná k identifikaci důvěryhodného uživatele. Používá se k identifikaci uživatelů na počítači se systémem Windows.
- Název účtu: SID je vyřešen tak, aby zobrazoval název účtu, který inicioval vytvoření nového procesu.
- Doména účtu: doména, do které počítač patří.
- Logon ID: jedinečná hexadecimální hodnota, která se používá k identifikaci přihlašovací relace uživatele. Lze jej použít ke korelaci událostí, které obsahují stejné ID události.
- Cílový předmět: toto pole poskytuje informace o uživatelském účtu, pod kterým proces běží. Předmět uvedený v události vytvoření procesu se může za určitých okolností lišit od předmětu uvedeného v události ukončení procesu. Pokud tedy tvůrce a cíl nemají stejné přihlášení, je důležité zahrnout cílový subjekt, i když oba odkazují na stejné ID procesu. Podpole jsou stejná jako u tématu autora výše.
- Informace o procesu: toto pole poskytuje podrobné informace o vytvořeném procesu. Zahrnuje několik podpolí, včetně:
- ID nového procesu (PID): jedinečná hexadecimální hodnota přiřazená novému procesu. Operační systém Windows jej používá ke sledování aktivních procesů.
- Název nového procesu: úplná cesta a název spustitelného souboru, který byl spuštěn za účelem vytvoření nového procesu.
- Typ vyhodnocení tokenu: vyhodnocení tokenu je bezpečnostní mechanismus používaný systémem Windows k určení, zda je uživatelský účet oprávněn provádět určitou akci. Typ tokenu, který proces použije k vyžádání zvýšených oprávnění, se nazývá „typ vyhodnocení tokenu“. Pro toto pole existují tři možné hodnoty. Typ 1 (%%1936) označuje, že proces používá výchozí uživatelský token a nevyžádal si žádná zvláštní oprávnění. Pro toto pole je to nejběžnější hodnota. Typ 2 (%%1937) označuje, že proces vyžadoval ke spuštění plná oprávnění správce a úspěšně je získal. Když uživatel spustí aplikaci nebo proces jako správce, je povoleno. Typ 3 (%%1938) označuje, že proces obdržel pouze práva potřebná k provedení požadované akce, i když požadoval zvýšená oprávnění.
- Povinné označení: označení integrity přiřazené procesu.
- ID procesu tvůrce: jedinečná hexadecimální hodnota přiřazená procesu, který spustil nový proces.
- Název procesu tvůrce: úplná cesta a název procesu, který vytvořil nový proces.
- Příkazový řádek procesu: poskytuje podrobnosti o argumentech předávaných do příkazu k zahájení nového procesu. Obsahuje několik podpolí včetně aktuálního adresáře a hashů.
Proč investovat do čističky vzduchu?
Při analýze procesu je důležité určit, zda je legitimní nebo škodlivý. Legitimní proces lze snadno identifikovat pohledem na pole informací o předmětu tvůrce a procesu. ID procesu lze použít k identifikaci anomálií, jako je nový proces vytvořený z neobvyklého nadřazeného procesu. Příkazový řádek lze také použít k ověření legitimity procesu. Například proces s argumenty, který obsahuje cestu k souboru k citlivým datům, může naznačovat zlý úmysl. Pole Creator Subject lze použít k určení, zda je uživatelský účet spojen s podezřelou aktivitou nebo má zvýšená oprávnění.
Dále je důležité korelovat událost ID 4688 s dalšími relevantními událostmi v systému, abyste získali kontext o nově vytvořeném procesu. ID události 4688 lze korelovat s 5156 a určit, zda je nový proces přidružen k síťovým připojením. Pokud je nový proces přidružen k nově nainstalované službě, lze událost 4697 (instalace služby) korelovat s 4688 a poskytnout další informace. ID události 5140 (vytvoření souboru) lze také použít k identifikaci všech nových souborů vytvořených novým procesem.
Na závěr, pochopení kontextu systému má určit potenciál Dopad procesu. Proces zahájený na kritickém serveru bude mít pravděpodobně větší dopad než proces spuštěný na samostatném počítači. Kontext pomáhá řídit vyšetřování, upřednostňovat reakci a řídit zdroje. Analýzou různých polí v protokolu událostí a prováděním korelace s jinými událostmi lze vysledovat anomální procesy až k jejich původu a určit příčinu.
