Com interpretar l'ID d'esdeveniment de seguretat de Windows 4688 en una investigació

introducció

D'acord amb Microsoft, els identificadors d'esdeveniment (també anomenats identificadors d'esdeveniment) identifiquen de manera única un esdeveniment concret. És un identificador numèric adjunt a cada esdeveniment registrat pel sistema operatiu Windows. L'identificador proporciona informació sobre l'esdeveniment que va passar i es pot utilitzar per identificar i resoldre problemes relacionats amb les operacions del sistema. Un esdeveniment, en aquest context, fa referència a qualsevol acció realitzada pel sistema o un usuari en un sistema. Aquests esdeveniments es poden veure a Windows mitjançant el Visor d'esdeveniments

L'ID d'esdeveniment 4688 es registra sempre que es crea un procés nou. Documenta cada programa executat per la màquina i les seves dades identificatives, incloent-hi el creador, l'objectiu i el procés que l'ha iniciat. Es registren diversos esdeveniments amb l'identificador d'esdeveniment 4688. En iniciar sessió, s'inicia el subsistema del gestor de sessions (SMSS.exe) i es registra l'esdeveniment 4688. Si un sistema està infectat per programari maliciós, és probable que el programari creï nous processos per executar-se. Aquests processos estarien documentats amb l'ID 4688.

 

Desplegueu Redmine a Ubuntu 20.04 a AWS

Interpretació de l'ID d'esdeveniment 4688

Per interpretar l'ID d'esdeveniment 4688, és important entendre els diferents camps inclosos al registre d'esdeveniments. Aquests camps es poden utilitzar per detectar qualsevol irregularitat i fer un seguiment de l'origen d'un procés fins al seu origen.

• Assumpte del creador: aquest camp proporciona informació sobre el compte d'usuari que ha sol·licitat la creació d'un nou procés. Aquest camp proporciona context i pot ajudar els investigadors forenses a identificar anomalies. Inclou diversos subcamps, com ara:

• • Identificador de seguretat (SID)” segons Microsoft, el SID és un valor únic que s'utilitza per identificar un fiduciari. S'utilitza per identificar usuaris a la màquina Windows.
  • Nom del compte: el SID es resol per mostrar el nom del compte que va iniciar la creació del nou procés.
  • Domini del compte: el domini al qual pertany l'ordinador.
  • Identificador d'inici de sessió: un valor hexadecimal únic que s'utilitza per identificar la sessió d'inici de sessió de l'usuari. Es pot utilitzar per correlacionar esdeveniments que contenen el mateix ID d'esdeveniment.

• Assumpte de destinació: aquest camp proporciona informació sobre el compte d'usuari amb el qual s'executa el procés. El subjecte esmentat en l'esdeveniment de creació del procés pot, en algunes circumstàncies, ser diferent del subjecte esmentat en l'esdeveniment de finalització del procés. Per tant, quan el creador i l'objectiu no tenen el mateix inici de sessió, és important incloure el subjecte de destinació encara que tots dos facin referència al mateix ID de procés. Els subcamps són els mateixos que els del tema del creador anterior.
• Informació del procés: aquest camp proporciona informació detallada sobre el procés creat. Inclou diversos subcamps, com ara:

• • New Process ID (PID): un valor hexadecimal únic assignat al nou procés. El sistema operatiu Windows l'utilitza per fer un seguiment dels processos actius.
  • Nom del nou procés: el camí complet i el nom del fitxer executable que es va iniciar per crear el nou procés.
  • Tipus d'avaluació de testimoni: l'avaluació de testimoni és un mecanisme de seguretat emprat per Windows per determinar si un compte d'usuari està autoritzat per dur a terme una acció concreta. El tipus de testimoni que utilitzarà un procés per sol·licitar privilegis elevats s'anomena "tipus d'avaluació de testimoni". Hi ha tres valors possibles per a aquest camp. El tipus 1 (%%1936) indica que el procés utilitza el testimoni d'usuari predeterminat i no ha sol·licitat cap permís especial. Per a aquest camp, és el valor més comú. El tipus 2 (%%1937) indica que el procés va sol·licitar privilegis d'administrador complets per executar-los i els va aconseguir. Quan un usuari executa una aplicació o procés com a administrador, s'habilita. El tipus 3 (%%1938) indica que el procés només va rebre els drets necessaris per dur a terme l'acció sol·licitada, tot i que sol·licitava privilegis elevats.

• • Etiqueta obligatòria: una etiqueta d'integritat assignada al procés. 
  • Identificador de procés creador: un valor hexadecimal únic assignat al procés que va iniciar el nou procés. 
  • Nom del procés creador: camí complet i nom del procés que ha creat el nou procés.
  • Línia d'ordres del procés: proporciona detalls sobre els arguments passats a l'ordre per iniciar el nou procés. Inclou diversos subcamps, inclosos el directori actual i els hash.

Desplegueu GoPhish Phishing Platform a Ubuntu 18.04 a AWS

Conclusió

 

Quan s'analitza un procés, és vital determinar si és legítim o maliciós. Un procés legítim es pot identificar fàcilment observant el tema del creador i els camps d'informació del procés. L'identificador de procés es pot utilitzar per identificar anomalies, com ara un procés nou generat a partir d'un procés principal inusual. La línia d'ordres també es pot utilitzar per verificar la legitimitat d'un procés. Per exemple, un procés amb arguments que inclou una ruta de fitxer a dades sensibles pot indicar una intenció maliciosa. El camp Assumpte del creador es pot utilitzar per determinar si el compte d'usuari està associat amb activitat sospitosa o té privilegis elevats. 

A més, és important correlacionar l'ID d'esdeveniment 4688 amb altres esdeveniments rellevants del sistema per obtenir context sobre el procés acabat de crear. L'ID d'esdeveniment 4688 es pot correlacionar amb 5156 per determinar si el nou procés està associat amb alguna connexió de xarxa. Si el nou procés s'associa amb un servei recentment instal·lat, l'esdeveniment 4697 (instal·lació del servei) es pot correlacionar amb 4688 per proporcionar informació addicional. L'ID d'esdeveniment 5140 (creació de fitxers) també es pot utilitzar per identificar els fitxers nous creats pel nou procés.

En conclusió, entendre el context del sistema és determinar el potencial impacte del procés. És probable que un procés iniciat en un servidor crític tingui un impacte més gran que un que s'iniciï en una màquina autònoma. El context ajuda a dirigir la investigació, prioritzar la resposta i gestionar els recursos. Mitjançant l'anàlisi dels diferents camps del registre d'esdeveniments i realitzant la correlació amb altres esdeveniments, es poden localitzar processos anòmals fins al seu origen i determinar-ne la causa.