A 4688-as Windows biztonsági eseményazonosító értelmezése egy vizsgálat során

Bevezetés

Szerint microsoft, az eseményazonosítók (más néven eseményazonosítók) egyedileg azonosítanak egy adott eseményt. Ez egy numerikus azonosító, amely a Windows operációs rendszer által naplózott minden eseményhez kapcsolódik. Az azonosító biztosítja információ a megtörtént eseményről, és a rendszer működésével kapcsolatos problémák azonosítására és hibaelhárítására használható. Az esemény ebben az összefüggésben a rendszer vagy a felhasználó által a rendszeren végrehajtott bármely műveletre utal. Ezek az események megtekinthetők Windows rendszeren az Eseménynapló segítségével

A 4688-as eseményazonosító naplózásra kerül, amikor új folyamat jön létre. Dokumentál minden, a gép által végrehajtott programot és annak azonosító adatait, beleértve az alkotót, a célt és az azt elindító folyamatot. Számos esemény kerül naplózásra a 4688-as eseményazonosító alatt. Bejelentkezéskor elindul a Session Manager alrendszer (SMSS.exe), és a 4688-as esemény naplózásra kerül. Ha egy rendszert rosszindulatú program fertőz meg, a rosszindulatú program valószínűleg új folyamatokat hoz létre a futtatáshoz. Az ilyen folyamatokat a 4688-as azonosítóval kell dokumentálni.

 

Telepítse a Redmine-t az Ubuntu 20.04-en az AWS-en

4688-as eseményazonosító tolmácsolás

A 4688-as eseményazonosító értelmezéséhez fontos megérteni az eseménynaplóban szereplő különböző mezőket. Ezek a mezők használhatók bármilyen szabálytalanság észlelésére és a folyamat eredetének visszakövetésére a forrásig.

• Alkotó tárgya: ez a mező arról a felhasználói fiókról nyújt információt, amely új folyamat létrehozását kérte. Ez a mező kontextust biztosít, és segíthet a törvényszéki nyomozóknak az anomáliák azonosításában. Számos almezőt tartalmaz, többek között:

• • Biztonsági azonosító (SID)” Aszerint microsoft, a SID egy egyedi érték, amely a megbízott azonosítására szolgál. A felhasználók azonosítására szolgál a Windows gépen.
  • Fióknév: a SID feloldása annak a fióknak a nevét mutatja, amelyik kezdeményezte az új folyamat létrehozását.
  • Fióktartomány: az a tartomány, amelyhez a számítógép tartozik.
  • Bejelentkezési azonosító: egyedi hexadecimális érték, amely a felhasználó bejelentkezési munkamenetének azonosítására szolgál. Használható olyan események korrelálására, amelyek ugyanazt az eseményazonosítót tartalmazzák.

• Target Subject: ez a mező a folyamat alatt futó felhasználói fiókkal kapcsolatos információkat tartalmaz. A folyamatlétrehozási eseményben említett téma bizonyos körülmények között eltérhet a folyamatleállítási eseményben említett alanytól. Tehát, ha az alkotó és a cél nem ugyanazzal a bejelentkezési azonosítóval rendelkezik, fontos, hogy a céltárgyat is tartalmazza, még akkor is, ha mindkettő ugyanarra a folyamatazonosítóra hivatkozik. Az almezők megegyeznek a fenti alkotó alanyéval.
• Folyamat információ: ez a mező részletes információkat tartalmaz a létrehozott folyamatról. Számos almezőt tartalmaz, többek között:

• • Új folyamatazonosító (PID): az új folyamathoz rendelt egyedi hexadecimális érték. A Windows operációs rendszer ezt használja az aktív folyamatok nyomon követésére.
  • Új folyamat neve: az új folyamat létrehozásához elindított végrehajtható fájl teljes elérési útja és neve.
  • Token Evaluation Type: a jogkivonat kiértékelése a Windows által használt biztonsági mechanizmus annak meghatározására, hogy egy felhasználói fiók jogosult-e egy adott művelet végrehajtására. A token típusát, amelyet a folyamat emelt szintű jogosultságok kérésére használ, „token kiértékelési típusnak” nevezik. Ennek a mezőnek három lehetséges értéke van. Az 1-es típus (%%1936) azt jelzi, hogy a folyamat az alapértelmezett felhasználói tokent használja, és nem kért semmilyen különleges engedélyt. Ennél a mezőnél ez a leggyakoribb érték. A 2-es típus (%%1937) azt jelzi, hogy a folyamat teljes rendszergazdai jogosultságokat kért a futtatáshoz, és sikeresen megszerezte azokat. Amikor a felhasználó rendszergazdaként futtat egy alkalmazást vagy folyamatot, az engedélyezve van. A 3-as típus (%%1938) azt jelzi, hogy a folyamat csak a kért művelet végrehajtásához szükséges jogokat kapta meg, annak ellenére, hogy emelt szintű jogosultságokat kért.

• • Kötelező címke: a folyamathoz rendelt integritáscímke. 
  • Creator Process ID: az új folyamatot elindító folyamathoz rendelt egyedi hexadecimális érték. 
  • Létrehozói folyamat neve: az új folyamatot létrehozó folyamat teljes elérési útja és neve.
  • Process Command Line: az új folyamat elindításához szükséges parancsba átadott argumentumok részleteit tartalmazza. Számos almezőt tartalmaz, beleértve az aktuális könyvtárat és a hash-eket.

Telepítse a GoPhish adathalász platformot az Ubuntu 18.04-en az AWS-be

Következtetés

 

Egy folyamat elemzésekor létfontosságú annak meghatározása, hogy az legitim vagy rosszindulatú. A jogszerű folyamat könnyen azonosítható az alkotói alany és a folyamat információs mezőinek megtekintésével. A folyamatazonosító használható anomáliák azonosítására, például egy szokatlan szülőfolyamatból származó új folyamatra. A parancssor egy folyamat legitimitásának ellenőrzésére is használható. Például az érzékeny adatokhoz vezető fájl elérési útját tartalmazó argumentumokat tartalmazó folyamat rosszindulatú szándékot jelezhet. Az Alkotó tárgya mező segítségével megállapítható, hogy a felhasználói fiók gyanús tevékenységhez van-e társítva, vagy magasabb szintű jogosultságokkal rendelkezik. 

Ezenkívül fontos a 4688-as azonosítójú eseményt a rendszer más releváns eseményeivel korrelálni, hogy kontextust nyerjünk az újonnan létrehozott folyamattal kapcsolatban. A 4688-as eseményazonosító korrelálható az 5156-os azonosítóval annak meghatározására, hogy az új folyamat társítva van-e bármilyen hálózati kapcsolathoz. Ha az új folyamat egy újonnan telepített szolgáltatáshoz van társítva, a 4697-es esemény (szolgáltatás telepítése) korrelálható a 4688-assal, hogy további információkat biztosítson. Az 5140-es eseményazonosító (fájl létrehozása) az új folyamat által létrehozott új fájlok azonosítására is használható.

Összefoglalva, a rendszer kontextusának megértése a potenciál meghatározása hatás a folyamatról. Egy kritikus kiszolgálón elindított folyamat valószínűleg nagyobb hatást fejt ki, mint egy önálló gépen elindított folyamat. A kontextus segít a nyomozás irányításában, a válaszadás fontossági sorrendjében és az erőforrások kezelésében. Az eseménynapló különböző mezőinek elemzésével és más eseményekkel való korrelációval a rendellenes folyamatok eredetére és az okuk megállapítására vezethetők vissza.