Kako razlagati ID varnostnega dogodka Windows 4688 v preiskavi
Predstavitev
Glede na Microsoft, ID-ji dogodkov (imenovani tudi identifikatorji dogodkov) enolično identificirajo določen dogodek. Je številčni identifikator, priložen vsakemu dogodku, ki ga zabeleži operacijski sistem Windows. Identifikator zagotavlja Podatki o dogodku, ki se je zgodil, in se lahko uporabi za prepoznavanje in odpravljanje težav v zvezi z delovanjem sistema. Dogodek se v tem kontekstu nanaša na katero koli dejanje, ki ga izvede sistem ali uporabnik v sistemu. Te dogodke si lahko ogledate v sistemu Windows z uporabo pregledovalnika dogodkov
ID dogodka 4688 se zabeleži vsakič, ko je ustvarjen nov proces. Dokumentira vsak program, ki ga izvede stroj, in njegove identifikacijske podatke, vključno z ustvarjalcem, ciljem in procesom, ki ga je zagnal. Več dogodkov se zabeleži pod ID dogodka 4688. Ob prijavi se Zažene se podsistem upravljalnika sej (SMSS.exe) in zabeleži se dogodek 4688. Če je sistem okužen z zlonamerno programsko opremo, bo zlonamerna programska oprema verjetno ustvarila nove procese za izvajanje. Takšni procesi bi bili dokumentirani pod ID 4688.
Razlaga dogodka ID 4688
Za razlago dogodka ID 4688 je pomembno razumeti različna polja, vključena v dnevnik dogodkov. Ta polja se lahko uporabljajo za odkrivanje morebitnih nepravilnosti in sledenje izvoru procesa nazaj do njegovega izvora.
- Zadeva ustvarjalca: v tem polju so informacije o uporabniškem računu, ki je zahteval ustvarjanje novega procesa. To polje zagotavlja kontekst in lahko forenzičnim preiskovalcem pomaga prepoznati anomalije. Vključuje več podpolj, vključno z:
- Varnostni identifikator (SID)« Glede na Microsoft, je SID edinstvena vrednost, ki se uporablja za identifikacijo skrbnika. Uporablja se za identifikacijo uporabnikov na računalniku Windows.
- Ime računa: SID je razrešen tako, da prikazuje ime računa, ki je sprožil ustvarjanje novega postopka.
- Domena računa: domena, ki ji pripada računalnik.
- Logon ID: edinstvena šestnajstiška vrednost, ki se uporablja za identifikacijo uporabnikove prijavne seje. Uporablja se lahko za korelacijo dogodkov, ki vsebujejo isti ID dogodka.
- Ciljni predmet: v tem polju so informacije o uporabniškem računu, pod katerim se izvaja proces. Subjekt, omenjen v dogodku ustvarjanja procesa, se lahko v nekaterih okoliščinah razlikuje od subjekta, omenjenega v dogodku zaključka procesa. Če torej ustvarjalec in cilj nimata iste prijave, je pomembno vključiti ciljni subjekt, čeprav se oba sklicujeta na isti ID procesa. Podpolja so enaka tistim pri predmetu ustvarjalca zgoraj.
- Informacije o procesu: v tem polju so podrobne informacije o ustvarjenem procesu. Vključuje več podpolj, vključno z:
- ID novega procesa (PID): edinstvena šestnajstiška vrednost, dodeljena novemu procesu. Operacijski sistem Windows ga uporablja za spremljanje aktivnih procesov.
- Ime novega procesa: polna pot in ime izvršljive datoteke, ki je bila zagnana za ustvarjanje novega procesa.
- Vrsta vrednotenja žetona: vrednotenje žetona je varnostni mehanizem, ki ga Windows uporablja za ugotavljanje, ali je uporabniški račun pooblaščen za izvedbo določenega dejanja. Tip žetona, ki ga bo proces uporabil za zahtevo povišanih privilegijev, se imenuje "vrsta ocene žetona". Za to polje so na voljo tri možne vrednosti. Tip 1 (%%1936) označuje, da proces uporablja privzeti uporabniški žeton in ni zahteval nobenih posebnih dovoljenj. Za to polje je najpogostejša vrednost. Tip 2 (%%1937) označuje, da je proces za izvajanje zahteval polne skrbniške pravice in jih uspešno pridobil. Ko uporabnik zažene aplikacijo ali proces kot skrbnik, je ta omogočen. Tip 3 (%%1938) označuje, da je proces prejel le pravice, potrebne za izvedbo zahtevanega dejanja, čeprav je zahteval povišane privilegije.
- Obvezna oznaka: oznaka integritete, dodeljena procesu.
- ID procesa ustvarjalca: edinstvena šestnajstiška vrednost, dodeljena procesu, ki je sprožil nov proces.
- Ime procesa ustvarjalca: polna pot in ime procesa, ki je ustvaril nov proces.
- Ukazna vrstica procesa: nudi podrobnosti o argumentih, posredovanih v ukaz za začetek novega procesa. Vključuje več podpolj, vključno s trenutnim imenikom in zgoščenimi vrednostmi.
zaključek
Pri analizi procesa je bistveno ugotoviti, ali je zakonit ali zlonameren. Legitimni postopek je mogoče enostavno prepoznati, če pogledate polja z informacijami o predmetu ustvarjalca in procesu. ID procesa se lahko uporablja za identifikacijo anomalij, kot je na primer nov proces, ustvarjen iz neobičajnega nadrejenega procesa. Ukazno vrstico lahko uporabite tudi za preverjanje legitimnosti procesa. Na primer, proces z argumenti, ki vključuje pot datoteke do občutljivih podatkov, lahko kaže na zlonamerno namero. S poljem Zadeva ustvarjalca lahko ugotovite, ali je uporabniški račun povezan s sumljivo dejavnostjo ali ima povišane privilegije.
Poleg tega je pomembno, da ID dogodka 4688 povežete z drugimi ustreznimi dogodki v sistemu, da pridobite kontekst o novo ustvarjenem procesu. ID dogodka 4688 lahko povežete z 5156, da ugotovite, ali je nov proces povezan s katero koli omrežno povezavo. Če je nov proces povezan z novo nameščeno storitvijo, lahko dogodek 4697 (namestitev storitve) povežete z 4688, da zagotovite dodatne informacije. ID dogodka 5140 (ustvarjanje datoteke) se lahko uporablja tudi za identifikacijo novih datotek, ustvarjenih z novim postopkom.
Skratka, razumevanje konteksta sistema pomeni določitev potenciala Vpliv procesa. Postopek, ki se sproži na kritičnem strežniku, bo verjetno imel večji vpliv kot proces, ki se sproži na samostojnem računalniku. Kontekst pomaga pri usmerjanju preiskave, določanju prioritet odziva in upravljanju virov. Z analizo različnih polj v dnevniku dogodkov in izvajanjem korelacije z drugimi dogodki je mogoče nenormalnim procesom izslediti njihov izvor in ugotoviti vzrok.
