Как интерпретировать событие безопасности Windows с идентификатором 4688 в расследовании

Введение

По Microsoft, идентификаторы событий (также называемые идентификаторами событий) однозначно идентифицируют конкретное событие. Это числовой идентификатор, прикрепленный к каждому событию, регистрируемому операционной системой Windows. Идентификатор предоставляет информация о произошедшем событии и может использоваться для выявления и устранения проблем, связанных с работой системы. Событие в этом контексте относится к любому действию, выполняемому системой или пользователем в системе. Эти события можно просматривать в Windows с помощью средства просмотра событий.

Идентификатор события 4688 регистрируется всякий раз, когда создается новый процесс. Он документирует каждую программу, выполняемую машиной, и ее идентифицирующие данные, включая создателя, цель и процесс, который ее запустил. Несколько событий регистрируются под идентификатором события 4688. При входе в систему запускается подсистема диспетчера сеансов (SMSS.exe), и регистрируется событие 4688. Если система заражена вредоносным ПО, оно, скорее всего, создаст новые процессы для запуска. Такие процессы будут задокументированы под идентификатором 4688.

 

Разверните Redmine в Ubuntu 20.04 на AWS

Интерпретация идентификатора события 4688

Чтобы интерпретировать идентификатор события 4688, важно понимать различные поля, включенные в журнал событий. Эти поля можно использовать для обнаружения любых нарушений и отслеживания происхождения процесса до его источника.

• Creator Subject: в этом поле содержится информация об учетной записи пользователя, которая запросила создание нового процесса. Это поле предоставляет контекст и может помочь следователям-криминалистам выявить аномалии. Он включает в себя несколько подполей, в том числе:

• • Идентификатор безопасности (SID)». Согласно Microsoft, SID — это уникальное значение, используемое для идентификации доверенного лица. Он используется для идентификации пользователей на компьютере с Windows.
  • Имя учетной записи: SID разрешен для отображения имени учетной записи, которая инициировала создание нового процесса.
  • Домен учетной записи: домен, к которому принадлежит компьютер.
  • Идентификатор входа: уникальное шестнадцатеричное значение, используемое для идентификации сеанса входа пользователя. Его можно использовать для корреляции событий, содержащих один и тот же идентификатор события.

• Целевая тема: в этом поле содержится информация об учетной записи пользователя, под которой запущен процесс. Субъект, упомянутый в событии создания процесса, может при некоторых обстоятельствах отличаться от субъекта, упомянутого в событии завершения процесса. Таким образом, когда у создателя и цели разные учетные записи, важно включить целевую тему, даже если они оба ссылаются на один и тот же идентификатор процесса. Подполя такие же, как и у субъекта-создателя выше.
• Информация о процессе: в этом поле содержится подробная информация о созданном процессе. Он включает в себя несколько подполей, в том числе:

• • Новый идентификатор процесса (PID): уникальное шестнадцатеричное значение, присвоенное новому процессу. Операционная система Windows использует его для отслеживания активных процессов.
  • Имя нового процесса: полный путь и имя исполняемого файла, который был запущен для создания нового процесса.
  • Тип оценки токена: оценка токена — это механизм безопасности, используемый Windows для определения того, авторизована ли учетная запись пользователя для выполнения определенного действия. Тип токена, который процесс будет использовать для запроса повышенных привилегий, называется «тип оценки токена». Есть три возможных значения для этого поля. Тип 1 (%%1936) означает, что процесс использует токен пользователя по умолчанию и не запрашивает никаких специальных разрешений. Для этого поля это наиболее распространенное значение. Тип 2 (%%1937) означает, что процесс запросил полные права администратора для запуска и успешно их получил. Когда пользователь запускает приложение или процесс от имени администратора, оно включается. Тип 3 (%%1938) означает, что процесс получил только права, необходимые для выполнения запрошенного действия, даже несмотря на то, что он запросил повышенные привилегии.

• • Обязательная метка: метка целостности, назначенная процессу. 
  • Идентификатор процесса-создателя: уникальное шестнадцатеричное значение, присвоенное процессу, инициировавшему новый процесс. 
  • Имя процесса-создателя: полный путь и имя процесса, создавшего новый процесс.
  • Командная строка процесса: содержит сведения об аргументах, переданных в команду для запуска нового процесса. Он включает в себя несколько подполей, включая текущий каталог и хэши.

Разверните фишинговую платформу GoPhish на Ubuntu 18.04 в AWS

Заключение

 

При анализе процесса очень важно определить, является ли он законным или вредоносным. Законный процесс можно легко идентифицировать, взглянув на поля информации о субъекте и процессе. Идентификатор процесса можно использовать для выявления аномалий, таких как новый процесс, порожденный необычным родительским процессом. Командную строку также можно использовать для проверки легитимности процесса. Например, процесс с аргументами, включающими путь к файлу с конфиденциальными данными, может указывать на злой умысел. Поле «Тема создателя» можно использовать, чтобы определить, связана ли учетная запись пользователя с подозрительной активностью или имеет повышенные привилегии. 

Кроме того, важно сопоставить событие с идентификатором 4688 с другими соответствующими событиями в системе, чтобы получить контекст о вновь созданном процессе. Событие с идентификатором 4688 можно сопоставить с 5156, чтобы определить, связан ли новый процесс с какими-либо сетевыми подключениями. Если новый процесс связан с недавно установленной службой, событие 4697 (установка службы) можно сопоставить с 4688 для предоставления дополнительной информации. Событие с идентификатором 5140 (создание файла) также можно использовать для идентификации любых новых файлов, созданных новым процессом.

В заключение, понимание контекста системы должно определить потенциал влияние процесса. Процесс, запущенный на критическом сервере, скорее всего, окажет большее влияние, чем процесс, запущенный на автономной машине. Контекст помогает направлять расследование, определять приоритеты реагирования и управлять ресурсами. Анализируя различные поля в журнале событий и проводя корреляцию с другими событиями, можно проследить аномальные процессы до их происхождения и определить причину.