Ako interpretovať ID udalosti zabezpečenia systému Windows 4688 vo vyšetrovaní
úvod
Podľa MicrosoftID udalostí (tiež nazývané identifikátory udalostí) jednoznačne identifikujú konkrétnu udalosť. Je to číselný identifikátor pripojený ku každej udalosti zaznamenanej operačným systémom Windows. Identifikátor poskytuje informácie o udalosti, ktorá sa vyskytla, a možno ju použiť na identifikáciu a odstraňovanie problémov súvisiacich s prevádzkou systému. Udalosť v tomto kontexte označuje akúkoľvek akciu vykonanú systémom alebo používateľom v systéme. Tieto udalosti je možné zobraziť v systéme Windows pomocou Zobrazovača udalostí
Udalosť ID 4688 sa zaprotokoluje vždy, keď sa vytvorí nový proces. Dokumentuje každý program spustený strojom a jeho identifikačné údaje vrátane tvorcu, cieľa a procesu, ktorý ho spustil. Niekoľko udalostí je zaznamenaných pod ID udalosti 4688. Po prihlásení Spustí sa subsystém správcu relácie (SMSS.exe) a zaznamená sa udalosť 4688. Ak je systém infikovaný malvérom, malvér pravdepodobne vytvorí nové procesy, ktoré sa spustia. Takéto procesy by boli zdokumentované pod ID 4688.
Interpretácia ID udalosti 4688
Aby bolo možné interpretovať udalosť ID 4688, je dôležité pochopiť rôzne polia zahrnuté v denníku udalostí. Tieto polia možno použiť na zistenie akýchkoľvek nezrovnalostí a sledovanie pôvodu procesu späť k jeho zdroju.
- Creator Subject: toto pole poskytuje informácie o používateľskom účte, ktorý požiadal o vytvorenie nového procesu. Toto pole poskytuje kontext a môže pomôcť forenzným vyšetrovateľom identifikovať anomálie. Zahŕňa niekoľko podpolí, vrátane:
- Bezpečnostný identifikátor (SID)“ Podľa Microsoft, SID je jedinečná hodnota používaná na identifikáciu dôveryhodného používateľa. Používa sa na identifikáciu používateľov na počítači so systémom Windows.
- Názov účtu: SID je vyriešené tak, aby zobrazovalo názov účtu, ktorý inicioval vytvorenie nového procesu.
- Doména účtu: doména, do ktorej počítač patrí.
- Logon ID: jedinečná hexadecimálna hodnota, ktorá sa používa na identifikáciu prihlasovacej relácie používateľa. Môže sa použiť na koreláciu udalostí, ktoré obsahujú rovnaké ID udalosti.
- Cieľový predmet: toto pole poskytuje informácie o používateľskom účte, pod ktorým proces beží. Predmet uvedený v udalosti vytvorenia procesu môže byť za určitých okolností odlišný od subjektu uvedeného v udalosti ukončenia procesu. Ak teda tvorca a cieľ nemajú rovnaké prihlásenie, je dôležité zahrnúť cieľový subjekt, aj keď obaja odkazujú na rovnaké ID procesu. Podpolia sú rovnaké ako podpolia s predmetom tvorcu vyššie.
- Informácie o procese: toto pole poskytuje podrobné informácie o vytvorenom procese. Zahŕňa niekoľko podpolí, vrátane:
- ID nového procesu (PID): jedinečná hexadecimálna hodnota priradená novému procesu. Operačný systém Windows ho používa na sledovanie aktívnych procesov.
- Názov nového procesu: úplná cesta a názov spustiteľného súboru, ktorý bol spustený na vytvorenie nového procesu.
- Typ hodnotenia tokenov: hodnotenie tokenov je bezpečnostný mechanizmus, ktorý používa systém Windows na určenie, či je používateľské konto oprávnené vykonať určitú akciu. Typ tokenu, ktorý proces použije na vyžiadanie zvýšených privilégií, sa nazýva „typ hodnotenia tokenu“. Pre toto pole existujú tri možné hodnoty. Typ 1 (%%1936) označuje, že proces používa predvolený token používateľa a nepožaduje žiadne špeciálne povolenia. Pre toto pole je to najbežnejšia hodnota. Typ 2 (%%1937) označuje, že proces vyžadoval na spustenie úplné oprávnenia správcu a úspešne ich získal. Keď používateľ spustí aplikáciu alebo proces ako správca, je povolený. Typ 3 (%%1938) označuje, že proces získal iba práva potrebné na vykonanie požadovanej akcie, aj keď požadoval zvýšené privilégiá.
- Povinné označenie: označenie integrity priradené procesu.
- ID procesu tvorcu: jedinečná hexadecimálna hodnota priradená procesu, ktorý spustil nový proces.
- Názov procesu tvorcu: úplná cesta a názov procesu, ktorý vytvoril nový proces.
- Príkazový riadok procesu: poskytuje podrobnosti o argumentoch odovzdaných do príkazu na spustenie nového procesu. Obsahuje niekoľko podpolí vrátane aktuálneho adresára a hash.
záver
Pri analýze procesu je dôležité určiť, či je legitímny alebo škodlivý. Legitímny proces možno ľahko identifikovať pohľadom na pole s informáciami o autorovi a procese. ID procesu možno použiť na identifikáciu anomálií, ako je napríklad nový proces, ktorý sa vytvorí z neobvyklého nadradeného procesu. Príkazový riadok možno použiť aj na overenie legitímnosti procesu. Napríklad proces s argumentmi, ktorý obsahuje cestu k súboru k citlivým údajom, môže naznačovať zlý úmysel. Pole Creator Subject možno použiť na určenie, či je používateľské konto spojené s podozrivou aktivitou alebo má zvýšené privilégiá.
Okrem toho je dôležité korelovať udalosť ID 4688 s inými relevantnými udalosťami v systéme, aby sa získal kontext o novovytvorenom procese. Udalosť ID 4688 možno korelovať s 5156, aby sa zistilo, či je nový proces spojený s akýmikoľvek sieťovými pripojeniami. Ak je nový proces spojený s novo nainštalovanou službou, udalosť 4697 (inštalácia služby) možno korelovať s 4688, aby sa poskytli ďalšie informácie. Event ID 5140 (vytvorenie súboru) možno použiť aj na identifikáciu všetkých nových súborov vytvorených novým procesom.
Na záver, pochopenie kontextu systému znamená určiť potenciál vplyv na prácu v cvičnej firme. procesu. Proces spustený na kritickom serveri bude mať pravdepodobne väčší vplyv ako proces spustený na samostatnom počítači. Kontext pomáha riadiť vyšetrovanie, uprednostňovať reakcie a riadiť zdroje. Analýzou rôznych polí v protokole udalostí a vykonaním korelácie s inými udalosťami možno vysledovať anomálne procesy až po ich pôvod a určiť príčinu.
