Як інтерпретувати ідентифікатор події безпеки Windows 4688 у розслідуванні
Вступ
За оцінками Microsoft, ідентифікатори подій (також звані ідентифікаторами подій) унікально ідентифікують конкретну подію. Це числовий ідентифікатор, доданий до кожної події, зареєстрованої операційною системою Windows. Ідентифікатор забезпечує інформація про подію, яка сталася, і може використовуватися для виявлення та усунення проблем, пов’язаних із системними операціями. У цьому контексті подія означає будь-яку дію, яку виконує система або користувач у системі. Ці події можна переглядати в Windows за допомогою засобу перегляду подій
Подія ID 4688 реєструється щоразу, коли створюється новий процес. Він документує кожну програму, яку виконує машина, та її ідентифікаційні дані, включаючи творця, ціль і процес, який її запустив. Кілька подій реєструються під ідентифікатором події 4688. Після входу в систему запускається підсистема диспетчера сеансів (SMSS.exe), і подія 4688 реєструється. Якщо система заражена шкідливим програмним забезпеченням, зловмисне програмне забезпечення, ймовірно, створить нові процеси для запуску. Такі процеси будуть задокументовані під ідентифікатором 4688.
Інтерпретація події ID 4688
Щоб інтерпретувати подію з ідентифікатором 4688, важливо розуміти різні поля, включені в журнал подій. Ці поля можна використовувати для виявлення будь-яких порушень і відстеження походження процесу до його джерела.
- Тема творця: це поле містить інформацію про обліковий запис користувача, який надіслав запит на створення нового процесу. Це поле надає контекст і може допомогти судово-медичним слідчим виявити аномалії. Він включає кілька підполів, зокрема:
-
- Ідентифікатор безпеки (SID)» Відповідно до Microsoft, SID — це унікальне значення, яке використовується для ідентифікації довіреної особи. Він використовується для ідентифікації користувачів на машині Windows.
- Ім’я облікового запису: ідентифікатор SID дозволено показувати ім’я облікового запису, який ініціював створення нового процесу.
- Домен облікового запису: домен, до якого належить комп’ютер.
- Ідентифікатор входу: унікальне шістнадцяткове значення, яке використовується для ідентифікації сеансу входу користувача. Його можна використовувати для кореляції подій, які містять однаковий ідентифікатор події.
- Цільова тема: це поле містить інформацію про обліковий запис користувача, під яким виконується процес. Суб’єкт, згаданий у події створення процесу, за деяких обставин може відрізнятися від суб’єкта, згаданого в події завершення процесу. Отже, коли автор і ціль не мають однакового входу, важливо включити цільовий суб’єкт, навіть якщо вони обидва посилаються на той самий ідентифікатор процесу. Підполя такі самі, як у темі творця вище.
- Інформація про процес: це поле містить детальну інформацію про створений процес. Він включає кілька підполів, зокрема:
-
- Ідентифікатор нового процесу (PID): унікальне шістнадцяткове значення, призначене новому процесу. Операційна система Windows використовує його для відстеження активних процесів.
- Ім’я нового процесу: повний шлях і ім’я виконуваного файлу, який було запущено для створення нового процесу.
- Тип оцінки маркера: оцінка маркера — це механізм безпеки, який використовується Windows для визначення того, чи обліковий запис користувача авторизовано виконувати певну дію. Тип маркера, який процес використовуватиме для запиту підвищених привілеїв, називається «типом оцінки маркера». Є три можливі значення для цього поля. Тип 1 (%%1936) означає, що процес використовує маркер користувача за замовчуванням і не запитував жодних спеціальних дозволів. Для цього поля це найпоширеніше значення. Тип 2 (%%1937) означає, що процес запитав повні права адміністратора для запуску та успішно їх отримав. Коли користувач запускає програму або процес як адміністратор, це вмикається. Тип 3 (%%1938) означає, що процес отримав лише права, необхідні для виконання запитаної дії, навіть якщо він запитував підвищені привілеї.
-
- Обов’язкова мітка: мітка цілісності, призначена процесу.
- ID процесу творця: унікальне шістнадцяткове значення, призначене процесу, який ініціював новий процес.
- Ім’я процесу творця: повний шлях і ім’я процесу, який створив новий процес.
- Командний рядок процесу: надає детальну інформацію про аргументи, передані в команду для ініціювання нового процесу. Він містить кілька підполів, включаючи поточний каталог і хеші.
Висновок
Аналізуючи процес, життєво важливо визначити, чи є він законним чи зловмисним. Легітимний процес можна легко визначити, подивившись на інформаційні поля суб’єкта творця та процесу. Ідентифікатор процесу можна використовувати для виявлення аномалій, таких як новий процес, породжений незвичайним батьківським процесом. Командний рядок також можна використовувати для перевірки легітимності процесу. Наприклад, процес із аргументами, які включають шлях до конфіденційних даних, може вказувати на зловмисний намір. Поле «Тема автора» можна використовувати, щоб визначити, чи пов’язаний обліковий запис користувача з підозрілою діяльністю чи має підвищені привілеї.
Крім того, важливо співвіднести подію ID 4688 з іншими відповідними подіями в системі, щоб отримати контекст про новостворений процес. Ідентифікатор події 4688 можна співвіднести з 5156, щоб визначити, чи пов’язаний новий процес з будь-якими мережевими підключеннями. Якщо новий процес пов’язано з нововстановленою службою, подію 4697 (встановлення служби) можна співвіднести з 4688, щоб надати додаткову інформацію. Ідентифікатор події 5140 (створення файлу) також можна використовувати для ідентифікації будь-яких нових файлів, створених новим процесом.
Підсумовуючи, розуміння контексту системи означає визначення потенціалу вплив процесу. Процес, ініційований на критично важливому сервері, ймовірно, матиме більший вплив, ніж процес, запущений на автономній машині. Контекст допомагає спрямовувати розслідування, визначати пріоритетність реагування та керувати ресурсами. Аналізуючи різні поля в журналі подій і виконуючи кореляцію з іншими подіями, можна відстежити походження аномальних процесів і визначити причину.
