Paano I-interpret ang Windows Security Event ID 4688 sa isang Imbestigasyon

pagpapakilala

Ayon sa microsoft, ang mga event ID (tinatawag ding event identifier) ​​ay natatanging tumutukoy sa isang partikular na kaganapan. Ito ay isang numerical identifier na naka-attach sa bawat kaganapan na naka-log ng Windows operating system. Nagbibigay ang identifier impormasyon tungkol sa kaganapang naganap at maaaring magamit upang tukuyin at i-troubleshoot ang mga problemang nauugnay sa mga pagpapatakbo ng system. Ang isang kaganapan, sa kontekstong ito, ay tumutukoy sa anumang pagkilos na ginawa ng system o ng isang user sa isang system. Maaaring matingnan ang mga kaganapang ito sa Windows gamit ang Event Viewer

Ang ID ng kaganapan 4688 ay naka-log sa tuwing may nilikhang bagong proseso. Ito ay nagdodokumento ng bawat programa na isinagawa ng makina at ang pagkakakilanlang data nito, kabilang ang lumikha, ang target, at ang prosesong nagsimula nito. Ang ilang mga kaganapan ay naka-log sa ilalim ng ID ng kaganapan 4688. Sa pag-log in, ang Session Manager Subsystem (SMSS.exe) ay inilunsad, at ang kaganapan 4688 ay naka-log. Kung ang isang system ay nahawaan ng malware, ang malware ay malamang na lumikha ng mga bagong proseso na tatakbo. Ang mga naturang proseso ay idodokumento sa ilalim ng ID 4688.

 

I-deploy ang Redmine sa Ubuntu 20.04 sa AWS

Pagbibigay-kahulugan sa Event ID 4688

Upang mabigyang-kahulugan ang event ID 4688, mahalagang maunawaan ang iba't ibang field na kasama sa log ng kaganapan. Maaaring gamitin ang mga field na ito upang makita ang anumang mga iregularidad at subaybayan ang pinagmulan ng isang proseso pabalik sa pinagmulan nito.

• Paksa ng Creator: ang field na ito ay nagbibigay ng impormasyon tungkol sa user account na humiling ng paglikha ng isang bagong proseso. Nagbibigay ang field na ito ng konteksto at makakatulong sa mga forensic investigator na matukoy ang mga anomalya. Kabilang dito ang ilang mga subfield, kabilang ang:

• • Security Identifier (SID)” Ayon kay microsoft, ang SID ay isang natatanging halaga na ginagamit upang makilala ang isang trustee. Ito ay ginagamit upang makilala ang mga user sa Windows machine.
  • Pangalan ng Account: ang SID ay nalutas upang ipakita ang pangalan ng account na nagpasimula ng paglikha ng bagong proseso.
  • Domain ng Account: ang domain na kinabibilangan ng computer.
  • Logon ID: isang natatanging hexadecimal value na ginagamit upang tukuyin ang session ng logon ng user. Maaari itong magamit upang iugnay ang mga kaganapan na naglalaman ng parehong ID ng kaganapan.

• Target na Paksa: ang field na ito ay nagbibigay ng impormasyon tungkol sa user account kung saan tumatakbo ang proseso. Ang paksang binanggit sa kaganapan sa paglikha ng proseso ay maaaring, sa ilang mga pagkakataon, ay naiiba sa paksang binanggit sa kaganapan ng pagwawakas ng proseso. Kaya, kapag ang gumawa at ang target ay walang parehong logon, mahalagang isama ang target na paksa kahit na pareho silang tumutukoy sa parehong ID ng proseso. Ang mga subfield ay kapareho ng sa paksa ng lumikha sa itaas.
• Impormasyon sa Proseso: nagbibigay ang field na ito ng detalyadong impormasyon tungkol sa ginawang proseso. Kabilang dito ang ilang mga subfield, kabilang ang:

• • Bagong Process ID (PID): isang natatanging hexadecimal value na itinalaga sa bagong proseso. Ginagamit ito ng operating system ng Windows upang subaybayan ang mga aktibong proseso.
  • Bagong Pangalan ng Proseso: ang buong path at pangalan ng executable file na inilunsad upang lumikha ng bagong proseso.
  • Uri ng Pagsusuri ng Token: ang pagsusuri ng token ay isang mekanismo ng seguridad na ginagamit ng Windows upang matukoy kung ang isang user account ay awtorisado na magsagawa ng isang partikular na aksyon. Ang uri ng token na gagamitin ng isang proseso upang humiling ng mga mataas na pribilehiyo ay tinatawag na "uri ng pagsusuri ng token." May tatlong posibleng halaga para sa field na ito. Ang uri 1 (%%1936) ay nagpapahiwatig na ang proseso ay gumagamit ng default na token ng user at hindi humiling ng anumang mga espesyal na pahintulot. Para sa field na ito, ito ang pinakakaraniwang halaga. Ang Type 2 (%%1937) ay nagsasaad na ang proseso ay humiling ng buong mga pribilehiyo ng administrator na tumakbo at matagumpay na makuha ang mga ito. Kapag ang isang user ay nagpatakbo ng isang application o proseso bilang administrator, ito ay pinagana. Ang Uri 3 (%%1938) ay nagsasaad na ang proseso ay nakatanggap lamang ng mga karapatan na kinakailangan upang isagawa ang hiniling na aksyon, kahit na humiling ito ng mga mataas na pribilehiyo.

• • Mandatory Label: isang label ng integridad na itinalaga sa proseso. 
  • Creator Process ID: isang natatanging hexadecimal value na itinalaga sa prosesong nagpasimula ng bagong proseso. 
  • Pangalan ng Proseso ng Tagalikha: buong landas at pangalan ng prosesong lumikha ng bagong proseso.
  • Process Command Line: nagbibigay ng mga detalye tungkol sa mga argumentong ipinasa sa command upang simulan ang bagong proseso. Kabilang dito ang ilang mga subfield kabilang ang kasalukuyang direktoryo at mga hash.

I-deploy ang GoPhish Phishing Platform sa Ubuntu 18.04 sa AWS

Konklusyon

 

Kapag sinusuri ang isang proseso, mahalagang matukoy kung ito ay lehitimo o nakakapinsala. Madaling matukoy ang isang lehitimong proseso sa pamamagitan ng pagtingin sa paksa ng lumikha at mga field ng impormasyon sa proseso. Maaaring gamitin ang Process ID upang tumukoy ng mga anomalya, gaya ng isang bagong proseso na nabuo mula sa isang hindi pangkaraniwang proseso ng magulang. Ang command line ay maaari ding gamitin upang i-verify ang pagiging lehitimo ng isang proseso. Halimbawa, ang isang proseso na may mga argumento na may kasamang path ng file patungo sa sensitibong data ay maaaring magpahiwatig ng malisyosong layunin. Maaaring gamitin ang field ng Creator Subject upang matukoy kung ang user account ay nauugnay sa kahina-hinalang aktibidad o may mataas na mga pribilehiyo. 

Higit pa rito, mahalagang iugnay ang event ID 4688 sa iba pang nauugnay na kaganapan sa system upang makakuha ng konteksto tungkol sa bagong likhang proseso. Maaaring iugnay ang Event ID 4688 sa 5156 upang matukoy kung ang bagong proseso ay nauugnay sa anumang mga koneksyon sa network. Kung ang bagong proseso ay nauugnay sa isang bagong naka-install na serbisyo, ang kaganapan 4697 (service install) ay maaaring iugnay sa 4688 upang magbigay ng karagdagang impormasyon. Magagamit din ang Event ID 5140 (paggawa ng file) upang tukuyin ang anumang mga bagong file na ginawa ng bagong proseso.

Sa konklusyon, ang pag-unawa sa konteksto ng sistema ay upang matukoy ang potensyal epekto ng proseso. Ang isang proseso na pinasimulan sa isang kritikal na server ay malamang na magkaroon ng mas malaking epekto kaysa sa isang inilunsad sa isang standalone na makina. Nakakatulong ang konteksto na idirekta ang pagsisiyasat, bigyang-priyoridad ang pagtugon at pamahalaan ang mga mapagkukunan. Sa pamamagitan ng pagsusuri sa iba't ibang field sa log ng kaganapan at pagsasagawa ng ugnayan sa iba pang mga kaganapan, ang mga maanomalyang proseso ay maaaring masubaybayan sa kanilang pinagmulan at matukoy ang dahilan.