Como interpretar a ID de evento de seguranza de Windows 4688 nunha investigación

meses 11 atrás

Como interpretar a ID de evento de seguranza de Windows 4688 nunha investigación

introdución

Dacordo con Microsoft, os ID de eventos (tamén chamados identificadores de eventos) identifican de forma única un evento concreto. É un identificador numérico adxunto a cada evento rexistrado polo sistema operativo Windows. O identificador proporciona información sobre o evento que ocorreu e pode utilizarse para identificar e solucionar problemas relacionados coas operacións do sistema. Un evento, neste contexto, refírese a calquera acción realizada polo sistema ou un usuario nun sistema. Estes eventos pódense ver en Windows usando o Visor de eventos

O ID de evento 4688 rexístrase sempre que se crea un novo proceso. Documenta cada programa executado pola máquina e os seus datos identificativos, incluíndo o creador, o destino e o proceso que o iniciou. Rexistráronse varios eventos baixo o ID de evento 4688. Ao iniciar sesión, lánzase o subsistema de xestor de sesións (SMSS.exe) e rexístrase o evento 4688. Se un sistema está infectado por malware, é probable que este cree novos procesos para executar. Tales procesos estarían documentados baixo o ID 4688.

Implementa Redmine en Ubuntu 20.04 en AWS

Interpretación do evento ID 4688

Para interpretar o ID de evento 4688, é importante comprender os diferentes campos incluídos no rexistro de eventos. Estes campos pódense utilizar para detectar calquera irregularidade e rastrexar a orixe dun proceso ata a súa orixe.

Asunto do creador: este campo proporciona información sobre a conta de usuario que solicitou a creación dun novo proceso. Este campo proporciona contexto e pode axudar aos investigadores forenses a identificar anomalías. Inclúe varios subcampos, incluíndo:

- Identificador de seguranza (SID)” Segundo Microsoft, o SID é un valor único usado para identificar un administrador. Utilízase para identificar usuarios na máquina Windows.
- Nome da conta: o SID resólvese para mostrar o nome da conta que iniciou a creación do novo proceso.
- Dominio da conta: o dominio ao que pertence o ordenador.
- ID de inicio de sesión: un valor hexadecimal único que se usa para identificar a sesión de inicio de sesión do usuario. Pódese usar para correlacionar eventos que conteñan o mesmo ID de evento.

Asunto de destino: este campo proporciona información sobre a conta de usuario coa que se está a executar o proceso. O suxeito mencionado no evento de creación do proceso pode, nalgunhas circunstancias, ser distinto do suxeito mencionado no evento de terminación do proceso. Polo tanto, cando o creador e o destino non teñen o mesmo inicio de sesión, é importante incluír o asunto de destino aínda que ambos fan referencia ao mesmo ID de proceso. Os subcampos son os mesmos que os do tema creador anterior.
Información do proceso: este campo proporciona información detallada sobre o proceso creado. Inclúe varios subcampos, incluíndo:

- New Process ID (PID): un valor hexadecimal único asignado ao novo proceso. O sistema operativo Windows utilízao para realizar un seguimento dos procesos activos.
- Nome do novo proceso: a ruta completa e o nome do ficheiro executable que se lanzou para crear o novo proceso.
- Tipo de avaliación do token: a avaliación do token é un mecanismo de seguridade empregado por Windows para determinar se unha conta de usuario está autorizada para realizar unha acción en particular. O tipo de token que utilizará un proceso para solicitar privilexios elevados chámase "tipo de avaliación de token". Hai tres valores posibles para este campo. O tipo 1 (%%1936) indica que o proceso está a usar o token de usuario predeterminado e non solicitou ningún permiso especial. Para este campo, é o valor máis común. O tipo 2 (%%1937) indica que o proceso solicitou privilexios de administrador completos para executalos e conseguilos. Cando un usuario executa unha aplicación ou proceso como administrador, esta habilitada. O tipo 3 (%%1938) indica que o proceso só recibiu os dereitos necesarios para levar a cabo a acción solicitada, aínda que solicitou privilexios elevados.

- Etiqueta obrigatoria: unha etiqueta de integridade asignada ao proceso.
- ID de proceso creador: un valor hexadecimal único asignado ao proceso que iniciou o novo proceso.
- Nome do proceso creador: camiño completo e nome do proceso que creou o novo proceso.
- Liña de comandos do proceso: proporciona detalles sobre os argumentos pasados ao comando para iniciar o novo proceso. Inclúe varios subcampos, incluíndo o directorio actual e os hash.

Implementa GoPhish Phishing Platform en Ubuntu 18.04 en AWS

Conclusión

Ao analizar un proceso, é vital determinar se é lexítimo ou malicioso. Un proceso lexítimo pódese identificar facilmente observando o tema do creador e os campos de información do proceso. O ID de proceso pódese usar para identificar anomalías, como un proceso novo que se xera a partir dun proceso principal inusual. A liña de comandos tamén se pode usar para verificar a lexitimidade dun proceso. Por exemplo, un proceso con argumentos que inclúe unha ruta de ficheiro a datos confidenciais pode indicar unha intención maliciosa. O campo Asunto do creador pódese usar para determinar se a conta de usuario está asociada a actividade sospeitosa ou ten privilexios elevados.

Ademais, é importante correlacionar o evento ID 4688 con outros eventos relevantes do sistema para obter contexto sobre o proceso recén creado. O ID de evento 4688 pódese correlacionar con 5156 para determinar se o novo proceso está asociado con algunha conexión de rede. Se o novo proceso está asociado cun servizo recén instalado, o evento 4697 (instalación do servizo) pódese correlacionar con 4688 para proporcionar información adicional. O ID de evento 5140 (creación de ficheiros) tamén se pode usar para identificar os ficheiros novos creados polo novo proceso.

En conclusión, comprender o contexto do sistema é determinar o potencial impacto do proceso. É probable que un proceso iniciado nun servidor crítico teña un impacto maior que un iniciado nunha máquina autónoma. O contexto axuda a dirixir a investigación, priorizar a resposta e xestionar os recursos. Ao analizar os diferentes campos do rexistro de eventos e realizar a correlación con outros eventos, pódense rastrexar procesos anómalos ata a súa orixe e determinar a causa.