Πώς να ερμηνεύσετε το Αναγνωριστικό συμβάντος ασφαλείας των Windows 4688 σε μια έρευνα

12 μήνες πριν

Πώς να ερμηνεύσετε το Αναγνωριστικό συμβάντος ασφαλείας των Windows 4688 σε μια έρευνα

Εισαγωγή

Σύμφωνα με Microsoft, τα αναγνωριστικά συμβάντων (ονομάζονται επίσης αναγνωριστικά συμβάντων) προσδιορίζουν μοναδικά ένα συγκεκριμένο συμβάν. Είναι ένα αριθμητικό αναγνωριστικό που επισυνάπτεται σε κάθε συμβάν που καταγράφεται από το λειτουργικό σύστημα Windows. Το αναγνωριστικό παρέχει πληροφορίες σχετικά με το συμβάν που συνέβη και μπορεί να χρησιμοποιηθεί για τον εντοπισμό και την αντιμετώπιση προβλημάτων που σχετίζονται με τις λειτουργίες του συστήματος. Ένα συμβάν, σε αυτό το πλαίσιο, αναφέρεται σε οποιαδήποτε ενέργεια εκτελείται από το σύστημα ή έναν χρήστη σε ένα σύστημα. Αυτά τα συμβάντα μπορούν να προβληθούν στα Windows χρησιμοποιώντας το πρόγραμμα προβολής συμβάντων

Το αναγνωριστικό συμβάντος 4688 καταγράφεται κάθε φορά που δημιουργείται μια νέα διεργασία. Καταγράφει κάθε πρόγραμμα που εκτελείται από το μηχάνημα και τα δεδομένα ταυτοποίησής του, συμπεριλαμβανομένου του δημιουργού, του στόχου και της διαδικασίας που το ξεκίνησε. Πολλά συμβάντα καταγράφονται με το αναγνωριστικό συμβάντος 4688. Κατά τη σύνδεση, εκκινείται το υποσύστημα διαχείρισης περιόδου λειτουργίας (SMSS.exe) και καταγράφεται το συμβάν 4688. Εάν ένα σύστημα έχει μολυνθεί από κακόβουλο λογισμικό, το κακόβουλο λογισμικό είναι πιθανό να δημιουργήσει νέες διεργασίες για εκτέλεση. Τέτοιες διαδικασίες θα τεκμηριώνονται με το ID 4688.

Αναπτύξτε το Redmine στο Ubuntu 20.04 στο AWS

Αναγνωριστικό συμβάντος ερμηνείας 4688

Για να ερμηνεύσετε το αναγνωριστικό συμβάντος 4688, είναι σημαντικό να κατανοήσετε τα διαφορετικά πεδία που περιλαμβάνονται στο αρχείο καταγραφής συμβάντων. Αυτά τα πεδία μπορούν να χρησιμοποιηθούν για τον εντοπισμό τυχόν παρατυπιών και την παρακολούθηση της προέλευσης μιας διεργασίας πίσω στην πηγή της.

Θέμα Δημιουργού: αυτό το πεδίο παρέχει πληροφορίες σχετικά με τον λογαριασμό χρήστη που ζήτησε τη δημιουργία μιας νέας διαδικασίας. Αυτό το πεδίο παρέχει το πλαίσιο και μπορεί να βοηθήσει τους ιατροδικαστές να εντοπίσουν ανωμαλίες. Περιλαμβάνει πολλά υποπεδία, όπως:

- Αναγνωριστικό ασφαλείας (SID)» Σύμφωνα με Microsoft, το SID είναι μια μοναδική τιμή που χρησιμοποιείται για τον προσδιορισμό ενός διαχειριστή. Χρησιμοποιείται για την αναγνώριση χρηστών στον υπολογιστή Windows.
- Όνομα λογαριασμού: το SID επιλύεται για να εμφανίσει το όνομα του λογαριασμού που ξεκίνησε τη δημιουργία της νέας διαδικασίας.
- Τομέας λογαριασμού: ο τομέας στον οποίο ανήκει ο υπολογιστής.
- Αναγνωριστικό σύνδεσης: μια μοναδική δεκαεξαδική τιμή που χρησιμοποιείται για τον προσδιορισμό της περιόδου σύνδεσης του χρήστη. Μπορεί να χρησιμοποιηθεί για τη συσχέτιση συμβάντων που περιέχουν το ίδιο αναγνωριστικό συμβάντος.

Θέμα στόχου: αυτό το πεδίο παρέχει πληροφορίες σχετικά με τον λογαριασμό χρήστη στον οποίο εκτελείται η διαδικασία. Το θέμα που αναφέρεται στο συμβάν δημιουργίας διεργασίας μπορεί, σε ορισμένες περιπτώσεις, να διαφέρει από το θέμα που αναφέρεται στο συμβάν τερματισμού διεργασίας. Έτσι, όταν ο δημιουργός και ο στόχος δεν έχουν την ίδια σύνδεση, είναι σημαντικό να συμπεριλάβετε το θέμα-στόχο, παρόλο που και τα δύο αναφέρονται στο ίδιο αναγνωριστικό διαδικασίας. Τα υποπεδία είναι ίδια με αυτά του θέματος του δημιουργού παραπάνω.
Πληροφορίες διαδικασίας: αυτό το πεδίο παρέχει λεπτομερείς πληροφορίες σχετικά με τη διαδικασία που δημιουργήθηκε. Περιλαμβάνει πολλά υποπεδία, όπως:

- Νέο αναγνωριστικό διεργασίας (PID): μια μοναδική δεκαεξαδική τιμή που εκχωρείται στη νέα διεργασία. Το λειτουργικό σύστημα Windows το χρησιμοποιεί για να παρακολουθεί τις ενεργές διεργασίες.
- Όνομα νέας διεργασίας: η πλήρης διαδρομή και το όνομα του εκτελέσιμου αρχείου που ξεκίνησε για τη δημιουργία της νέας διεργασίας.
- Τύπος αξιολόγησης διακριτικού: η αξιολόγηση διακριτικού είναι ένας μηχανισμός ασφαλείας που χρησιμοποιείται από τα Windows για να προσδιορίσει εάν ένας λογαριασμός χρήστη είναι εξουσιοδοτημένος να εκτελέσει μια συγκεκριμένη ενέργεια. Ο τύπος διακριτικού που θα χρησιμοποιήσει μια διαδικασία για να ζητήσει αυξημένα προνόμια ονομάζεται "τύπος αξιολόγησης διακριτικού". Υπάρχουν τρεις πιθανές τιμές για αυτό το πεδίο. Ο τύπος 1 (%%1936) υποδηλώνει ότι η διαδικασία χρησιμοποιεί το προεπιλεγμένο διακριτικό χρήστη και δεν έχει ζητήσει ειδικά δικαιώματα. Για αυτό το πεδίο, είναι η πιο κοινή τιμή. Ο τύπος 2 (%%1937) υποδηλώνει ότι η διαδικασία ζήτησε πλήρη δικαιώματα διαχειριστή για εκτέλεση και ήταν επιτυχής στην απόκτησή τους. Όταν ένας χρήστης εκτελεί μια εφαρμογή ή μια διαδικασία ως διαχειριστής, ενεργοποιείται. Ο τύπος 3 (%%1938) υποδηλώνει ότι η διεργασία έλαβε μόνο τα δικαιώματα που απαιτούνται για την εκτέλεση της ζητούμενης ενέργειας, παρόλο που ζήτησε αυξημένα προνόμια.

- Υποχρεωτική ετικέτα: μια ετικέτα ακεραιότητας που αποδίδεται στη διαδικασία.
- Αναγνωριστικό διαδικασίας δημιουργού: μια μοναδική δεκαεξαδική τιμή που εκχωρείται στη διαδικασία που ξεκίνησε τη νέα διαδικασία.
- Όνομα διαδικασίας δημιουργού: πλήρης διαδρομή και όνομα της διαδικασίας που δημιούργησε τη νέα διαδικασία.
- Γραμμή εντολών διεργασίας: παρέχει λεπτομέρειες σχετικά με τα ορίσματα που μεταβιβάζονται στην εντολή για την εκκίνηση της νέας διαδικασίας. Περιλαμβάνει πολλά υποπεδία, συμπεριλαμβανομένου του τρέχοντος καταλόγου και των κατακερματισμών.

Αναπτύξτε την πλατφόρμα GoPhish Phishing στο Ubuntu 18.04 στο AWS

Συμπέρασμα

Κατά την ανάλυση μιας διαδικασίας, είναι ζωτικής σημασίας να προσδιοριστεί εάν είναι νόμιμη ή κακόβουλη. Μια νόμιμη διαδικασία μπορεί εύκολα να εντοπιστεί κοιτάζοντας τα πεδία πληροφοριών του θέματος και της διαδικασίας του δημιουργού. Το αναγνωριστικό διεργασίας μπορεί να χρησιμοποιηθεί για τον εντοπισμό ανωμαλιών, όπως μια νέα διεργασία που δημιουργείται από μια ασυνήθιστη γονική διαδικασία. Η γραμμή εντολών μπορεί επίσης να χρησιμοποιηθεί για την επαλήθευση της νομιμότητας μιας διαδικασίας. Για παράδειγμα, μια διαδικασία με ορίσματα που περιλαμβάνει μια διαδρομή αρχείου προς ευαίσθητα δεδομένα μπορεί να υποδηλώνει κακόβουλη πρόθεση. Το πεδίο Creator Subject μπορεί να χρησιμοποιηθεί για να προσδιοριστεί εάν ο λογαριασμός χρήστη σχετίζεται με ύποπτη δραστηριότητα ή έχει αυξημένα προνόμια.

Επιπλέον, είναι σημαντικό να συσχετίσετε το αναγνωριστικό συμβάντος 4688 με άλλα σχετικά συμβάντα στο σύστημα για να αποκτήσετε το πλαίσιο σχετικά με τη διαδικασία που δημιουργήθηκε πρόσφατα. Το Αναγνωριστικό συμβάντος 4688 μπορεί να συσχετιστεί με το 5156 για να προσδιοριστεί εάν η νέα διαδικασία σχετίζεται με οποιεσδήποτε συνδέσεις δικτύου. Εάν η νέα διαδικασία σχετίζεται με μια πρόσφατα εγκατεστημένη υπηρεσία, το συμβάν 4697 (εγκατάσταση υπηρεσίας) μπορεί να συσχετιστεί με το 4688 για να παρέχει πρόσθετες πληροφορίες. Το Αναγνωριστικό συμβάντος 5140 (δημιουργία αρχείου) μπορεί επίσης να χρησιμοποιηθεί για την αναγνώριση τυχόν νέων αρχείων που δημιουργήθηκαν από τη νέα διαδικασία.

Συμπερασματικά, η κατανόηση του πλαισίου του συστήματος είναι ο προσδιορισμός του δυναμικού επιπτώσεις της διαδικασίας. Μια διαδικασία που ξεκινά σε έναν κρίσιμο διακομιστή είναι πιθανό να έχει μεγαλύτερο αντίκτυπο από μια διαδικασία που ξεκινά σε ένα αυτόνομο μηχάνημα. Το πλαίσιο βοηθά στην κατεύθυνση της έρευνας, στην ιεράρχηση της απόκρισης και στη διαχείριση των πόρων. Αναλύοντας τα διαφορετικά πεδία στο αρχείο καταγραφής συμβάντων και πραγματοποιώντας συσχέτιση με άλλα συμβάντα, οι ανώμαλες διεργασίες μπορούν να εντοπιστούν στην προέλευσή τους και να προσδιοριστεί η αιτία.