Sådan fortolkes Windows Security Event ID 4688 i en undersøgelse
Introduktion
Ifølge microsoft, hændelses-id'er (også kaldet hændelses-id'er) identificerer entydigt en bestemt hændelse. Det er en numerisk identifikator knyttet til hver hændelse, der logges af Windows-operativsystemet. Identifikationen giver oplysninger om hændelsen, der opstod og kan bruges til at identificere og fejlfinde problemer i forbindelse med systemdrift. En hændelse refererer i denne sammenhæng til enhver handling udført af systemet eller en bruger på et system. Disse begivenheder kan ses på Windows ved hjælp af Event Viewer
Hændelses-ID 4688 logges, hver gang en ny proces oprettes. Den dokumenterer hvert program, der udføres af maskinen, og dets identifikationsdata, inklusive skaberen, målet og den proces, der startede det. Flere hændelser logges under hændelses-id'et 4688. Ved login startes Session Manager Subsystem (SMSS.exe), og hændelse 4688 logges. Hvis et system er inficeret af malware, vil malwaren sandsynligvis skabe nye processer til at køre. Sådanne processer vil blive dokumenteret under ID 4688.
Fortolkning af hændelses-id 4688
For at fortolke hændelses-ID 4688 er det vigtigt at forstå de forskellige felter, der er inkluderet i hændelsesloggen. Disse felter kan bruges til at opdage eventuelle uregelmæssigheder og spore oprindelsen af en proces tilbage til dens kilde.
- Creator Emne: Dette felt giver oplysninger om den brugerkonto, der anmodede om oprettelse af en ny proces. Dette felt giver kontekst og kan hjælpe retsmedicinske efterforskere med at identificere uregelmæssigheder. Det omfatter flere underfelter, herunder:
-
- Security Identifier (SID)” Ifølge microsoft, SID'et er en unik værdi, der bruges til at identificere en administrator. Det bruges til at identificere brugere på Windows-maskinen.
- Kontonavn: SID'et er løst til at vise navnet på den konto, der startede oprettelsen af den nye proces.
- Kontodomæne: det domæne, computeren tilhører.
- Logon ID: en unik hexadecimal værdi, der bruges til at identificere brugerens logon-session. Det kan bruges til at korrelere hændelser, der indeholder det samme hændelses-id.
- Målemne: dette felt giver oplysninger om den brugerkonto, som processen kører under. Emnet nævnt i procesoprettelsesbegivenheden kan under nogle omstændigheder være forskelligt fra emnet nævnt i procesafslutningshændelsen. Så når skaberen og målet ikke har det samme logon, er det vigtigt at inkludere målemnet, selvom de begge refererer til det samme proces-id. Underfelterne er de samme som for skaberemnet ovenfor.
- Procesoplysninger: Dette felt giver detaljerede oplysninger om den oprettede proces. Det omfatter flere underfelter, herunder:
-
- New Process ID (PID): en unik hexadecimal værdi, der er tildelt den nye proces. Windows-operativsystemet bruger det til at holde styr på aktive processer.
- Nyt procesnavn: den fulde sti og navnet på den eksekverbare fil, der blev startet for at oprette den nye proces.
- Token-evalueringstype: Token-evaluering er en sikkerhedsmekanisme, der bruges af Windows til at bestemme, om en brugerkonto er autoriseret til at udføre en bestemt handling. Den type token, en proces vil bruge til at anmode om forhøjede privilegier, kaldes "tokenevalueringstypen." Der er tre mulige værdier for dette felt. Type 1 (%%1936) angiver, at processen bruger standardbrugertokenet og ikke har anmodet om særlige tilladelser. For dette felt er det den mest almindelige værdi. Type 2 (%%1937) angiver, at processen anmodede om fulde administratorrettigheder for at køre og lykkedes med at opnå dem. Når en bruger kører en applikation eller proces som administrator, er den aktiveret. Type 3 (%%1938) angiver, at processen kun modtog de nødvendige rettigheder til at udføre den anmodede handling, selvom den anmodede om forhøjede privilegier.
-
- Obligatorisk etiket: et integritetsmærke, der tildeles processen.
- Creator Process ID: en unik hexadecimal værdi, der er tildelt den proces, der startede den nye proces.
- Skaberprocesnavn: den fulde sti og navnet på den proces, der skabte den nye proces.
- Process Command Line: giver detaljer om de argumenter, der sendes til kommandoen for at starte den nye proces. Det inkluderer flere underfelter, herunder den aktuelle mappe og hashes.
Konklusion
Når man analyserer en proces, er det afgørende at afgøre, om den er legitim eller ondsindet. En legitim proces kan let identificeres ved at se på skaberens emne og procesinformationsfelter. Proces-id kan bruges til at identificere uregelmæssigheder, såsom en ny proces, der udspringer af en usædvanlig overordnet proces. Kommandolinjen kan også bruges til at verificere legitimiteten af en proces. For eksempel kan en proces med argumenter, der inkluderer en filsti til følsomme data, indikere ondsindet hensigt. Feltet Creator Emne kan bruges til at bestemme, om brugerkontoen er forbundet med mistænkelig aktivitet eller har forhøjede privilegier.
Ydermere er det vigtigt at korrelere hændelses-ID 4688 med andre relevante hændelser i systemet for at få kontekst omkring den nyoprettede proces. Hændelses-ID 4688 kan korreleres med 5156 for at bestemme, om den nye proces er forbundet med nogen netværksforbindelser. Hvis den nye proces er knyttet til en nyligt installeret tjeneste, kan hændelse 4697 (serviceinstallation) korreleres med 4688 for at give yderligere oplysninger. Hændelses-ID 5140 (filoprettelse) kan også bruges til at identificere eventuelle nye filer, der er oprettet af den nye proces.
Afslutningsvis er forståelsen af systemets kontekst at bestemme potentialet indvirkning af processen. En proces, der startes på en kritisk server, vil sandsynligvis have en større indflydelse end en proces, der startes på en selvstændig maskine. Kontekst hjælper med at styre undersøgelsen, prioritere respons og administrere ressourcer. Ved at analysere de forskellige felter i hændelsesloggen og udføre korrelation med andre hændelser, kan unormale processer spores til deres oprindelse og årsagen bestemmes.
