Wéi interpretéiere ech Windows Security Event ID 4688 an enger Enquête

Aféierung

Entspriechend zu Microsoft, Event IDen (och Event Identifizéierer genannt) identifizéieren e bestëmmten Event eenzegaarteg. Et ass en numereschen Identifizéierer verbonnen un all Event dat vum Windows Betriebssystem protokolléiert ass. Den Identifizéierer gëtt Informatiounen iwwer den Event dat geschitt ass a ka benotzt ginn fir Probleemer am Zesummenhang mat Systemoperatiounen z'identifizéieren an ze léisen. En Event, an dësem Kontext, bezitt sech op all Handlung déi vum System oder engem Benotzer op engem System ausgefouert gëtt. Dës Eventer kënnen op Windows mam Event Viewer gekuckt ginn

D'Evenement ID 4688 gëtt protokolléiert wann en neie Prozess erstallt gëtt. Et dokumentéiert all Programm ausgefouert vun der Maschinn a seng Identifikatiounsdaten, dorënner de Schëpfer, d'Zil, an de Prozess deen et ugefaang huet. Verschidde Eventer sinn ënner dem Event ID protokolléiert 4688. Beim Login gëtt Sessiounsmanager Subsystem (SMSS.exe) lancéiert, an Event 4688 protokolléiert. Wann e System vu Malware infizéiert ass, wäert d'Malware méiglecherweis nei Prozesser erstellen fir ze lafen. Esou Prozesser géifen ënner ID 4688 dokumentéiert ginn.

 

Deploy Redmine op Ubuntu 20.04 op AWS

Interpretatioun Event ID 4688

Fir Event ID 4688 z'interpretéieren, ass et wichteg déi verschidde Felder am Event Log ze verstoen. Dës Felder kënne benotzt ginn fir all Onregelméissegkeeten z'entdecken an den Urspronk vun engem Prozess zréck op seng Quell ze verfolgen.

• Creator Subject: dëst Feld liwwert Informatioun iwwer de Benotzerkont deen d'Schafe vun engem neie Prozess gefrot huet. Dëst Feld bitt Kontext a kann forensesch Enquêteuren hëllefen Anomalien z'identifizéieren. Et enthält verschidde Ënnerfelder, dorënner:

• • Sécherheetsidentifizéierer (SID)" Laut Microsoft, de SID ass en eenzegaartege Wäert deen benotzt gëtt fir e Vertrauens ze identifizéieren. Et gëtt benotzt fir Benotzer op der Windows Maschinn z'identifizéieren.
  • Kontonumm: de SID gëtt geléist fir den Numm vum Kont ze weisen deen d'Schafung vum neie Prozess initiéiert huet.
  • Account Domain: d'Domain zu deem de Computer gehéiert.
  • Logon ID: en eenzegaartege hexadezimale Wäert dee benotzt gëtt fir d'Loginsession vum Benotzer z'identifizéieren. Et kann benotzt ginn fir Eventer ze korreléieren déi déiselwecht Event ID enthalen.

• Zilbetreff: dëst Feld liwwert Informatioun iwwer de Benotzerkont ënner deem de Prozess leeft. D'Thema ernimmt am Prozess Kreatioun Event kann, an e puer Ëmstänn, ënnerscheeden aus dem Sujet ernimmt am Prozess Enn Event. Also, wann de Schëpfer an d'Zil net deeselwechte Logon hunn, ass et wichteg d'Zilthema ze enthalen, och wa se béid déiselwecht Prozess ID referenzéieren. D'Ënnerfelder sinn d'selwecht wéi déi vum Creator Thema hei uewen.
• Prozessinformatioun: dëst Feld liwwert detailléiert Informatioun iwwer de erstallte Prozess. Et enthält verschidde Ënnerfelder, dorënner:

• • New Process ID (PID): en eenzegaartege hexadezimale Wäert deen dem neie Prozess zougewisen ass. De Windows Betribssystem benotzt et fir aktiv Prozesser ze verfollegen.
  • Neie Prozessnumm: de komplette Wee an den Numm vun der ausführbarer Datei déi gestart gouf fir den neie Prozess ze kreéieren.
  • Token Evaluatiounstyp: Token Evaluatioun ass e Sécherheetsmechanismus dee vu Windows benotzt gëtt fir ze bestëmmen ob e Benotzerkont autoriséiert ass fir eng bestëmmten Handlung auszeféieren. D'Zort vum Token e Prozess benotzt fir erhéicht Privilegien ze froen gëtt den "Token Evaluatiounstyp" genannt. Et ginn dräi méiglech Wäerter fir dëst Feld. Typ 1 (%%1936) bezeechent datt de Prozess de Standard Benotzer Token benotzt an keng speziell Permissiounen ugefrot huet. Fir dëst Feld ass et den allgemengste Wäert. Typ 2 (%% 1937) bezeechent datt de Prozess voll Administrator Privilegien ugefrot huet fir ze lafen an erfollegräich ze kréien. Wann e Benotzer eng Applikatioun oder Prozess als Administrator leeft, ass et aktivéiert. Typ 3 (%% 1938) bezeechent datt de Prozess nëmmen d'Rechter kritt huet fir déi ugefrote Handlung auszeféieren, och wann en erhöhte Privilegien gefrot huet.

• • Obligatoresch Label: en Integritéitslabel deen dem Prozess zougewisen ass. 
  • Creator Process ID: en eenzegaartege hexadezimale Wäert deen dem Prozess zougewisen ass deen den neie Prozess initiéiert huet. 
  • Creator Process Name: Voll Wee an Numm vum Prozess deen den neie Prozess erstallt huet.
  • Prozess Command Line: bitt Detailer iwwer d'Argumenter, déi an de Kommando passéiert sinn, fir den neie Prozess ze initiéieren. Et enthält e puer Ënnerfelder dorënner den aktuellen Verzeechnes an Hashes.

Deploy GoPhish Phishing Plattform op Ubuntu 18.04 an AWS

Konklusioun

 

Wann Dir e Prozess analyséiert, ass et wichteg ze bestëmmen ob et legitim oder béiswëlleg ass. E legitime Prozess kann einfach identifizéiert ginn andeems Dir d'Creator Thema an d'Prozessinformatiounsfelder kuckt. Prozess ID ka benotzt ginn fir Anomalien z'identifizéieren, sou wéi en neie Prozess deen aus engem ongewéinlechen Elterenprozess entstinn. D'Kommandozeil kann och benotzt ginn fir d'Legitimitéit vun engem Prozess z'iwwerpréiwen. Zum Beispill kann e Prozess mat Argumenter, deen e Fichierwee fir sensibel Donnéeën enthält, béiswëlleg Absicht uginn. D'Creator Subject Feld kann benotzt ginn fir ze bestëmmen ob de Benotzerkont mat verdächteger Aktivitéit assoziéiert ass oder erhéicht Privilegien huet. 

Ausserdeem ass et wichteg Event ID 4688 mat anere relevanten Eventer am System ze korreléieren fir Kontext iwwer den nei erstallte Prozess ze kréien. Event ID 4688 kann mat 5156 korreléiert ginn fir ze bestëmmen ob den neie Prozess mat all Netzwierkverbindungen assoziéiert ass. Wann den neie Prozess mat engem nei installéierten Service assoziéiert ass, kann Event 4697 (Serviceinstallatioun) mat 4688 korreléiert ginn fir zousätzlech Informatioun ze bidden. Event ID 5140 (Kreatioun vun Dateien) kann och benotzt ginn fir all nei Dateien ze identifizéieren déi vum neie Prozess erstallt ginn.

Als Conclusioun, de Kontext vum System ze verstoen ass d'Potenzial ze bestëmmen Impakt vum Prozess. E Prozess, deen op engem kriteschen Server initiéiert gëtt, huet méiglecherweis e gréisseren Impakt wéi een op enger Standalone Maschinn lancéiert. Kontext hëlleft d'Enquête ze dirigéieren, d'Äntwert ze prioritären a Ressourcen ze managen. Andeems Dir déi verschidde Felder am Eventprotokoll analyséiert a Korrelatioun mat aneren Eventer ausféiert, kënnen anomal Prozesser op hir Hierkonft verfollegt ginn an d'Ursaach bestëmmt.