Како протумачити Виндовс безбедносни догађај ИД 4688 у истрази
увод
Према Microsoft , ИД-ови догађаја (који се називају и идентификатори догађаја) јединствено идентификују одређени догађај. То је нумерички идентификатор који је везан за сваки догађај евидентиран од стране оперативног система Виндовс. Идентификатор обезбеђује информација о догађају који се догодио и може се користити за идентификацију и решавање проблема у вези са радом система. Догађај се у овом контексту односи на било коју радњу коју изврши систем или корисник на систему. Ови догађаји се могу видети у Виндовс-у помоћу прегледача догађаја
ИД догађаја 4688 се евидентира сваки пут када се креира нови процес. Документује сваки програм који је извршила машина и његове идентификационе податке, укључујући креатора, циљ и процес који га је покренуо. Неколико догађаја се евидентира под ИД-ом догађаја 4688. Након пријављивања, Подсистем менаџера сесија (СМСС.еке) је покренут, а догађај 4688 је евидентиран. Ако је систем заражен малвером, малвер ће вероватно створити нове процесе за покретање. Такви процеси би били документовани под ИД 4688.
Тумачење догађаја ИД 4688
Да бисте протумачили ИД догађаја 4688, важно је разумети различита поља укључена у евиденцију догађаја. Ова поља се могу користити за откривање било каквих неправилности и праћење порекла процеса до његовог извора.
- Тема креатора: ово поље пружа информације о корисничком налогу који је захтевао креирање новог процеса. Ово поље пружа контекст и може помоћи форензичким истражитељима да идентификују аномалије. Укључује неколико потпоља, укључујући:
- Безбедносни идентификатор (СИД)” Према Microsoft , СИД је јединствена вредност која се користи за идентификацију повереника. Користи се за идентификацију корисника на Виндовс машини.
- Назив налога: СИД се решава тако да приказује име налога који је покренуо креирање новог процеса.
- Домен налога: домен којем рачунар припада.
- ИД за пријаву: јединствена хексадецимална вредност која се користи за идентификацију сесије пријављивања корисника. Може се користити за повезивање догађаја који садрже исти ИД догађаја.
- Циљна тема: ово поље пружа информације о корисничком налогу под којим се процес покреће. Субјект поменут у догађају креирања процеса може се, у неким околностима, разликовати од субјекта поменутог у догађају завршетка процеса. Дакле, када креатор и циљ немају исту пријаву, важно је укључити циљни субјект иако оба позивају на исти ИД процеса. Потпоља су иста као код теме креатора изнад.
- Информације о процесу: ово поље пружа детаљне информације о креираном процесу. Укључује неколико потпоља, укључујући:
- ИД новог процеса (ПИД): јединствена хексадецимална вредност додељена новом процесу. Оперативни систем Виндовс га користи за праћење активних процеса.
- Име новог процеса: пуна путања и име извршне датотеке која је покренута да би се креирао нови процес.
- Тип евалуације токена: процена токена је безбедносни механизам који користи Виндовс да би утврдио да ли је кориснички налог овлашћен да изврши одређену радњу. Тип токена који ће процес користити за тражење повишених привилегија назива се „тип евалуације токена“. Постоје три могуће вредности за ово поље. Тип 1 (%%1936) означава да процес користи подразумевани кориснички токен и да није захтевао никакве посебне дозволе. За ово поље, то је најчешћа вредност. Тип 2 (%%1937) означава да је процес захтевао пуне администраторске привилегије за покретање и да је успео да их добије. Када корисник покрене апликацију или процес као администратор, то је омогућено. Тип 3 (%%1938) означава да је процес добио само права потребна да изврши тражену радњу, иако је захтевао повишене привилегије.
- Обавезна ознака: ознака интегритета додељена процесу.
- ИД процеса креатора: јединствена хексадецимална вредност додељена процесу који је покренуо нови процес.
- Назив процеса креатора: пуна путања и назив процеса који је креирао нови процес.
- Командна линија процеса: пружа детаље о аргументима прослеђеним у команду за покретање новог процеса. Садржи неколико потпоља укључујући тренутни директоријум и хешове.
Zakljucak
Када анализирате процес, од виталног је значаја да се утврди да ли је легитиман или злонамеран. Легитимни процес се лако може идентификовати гледањем субјекта креатора и информационих поља процеса. ИД процеса се може користити за идентификацију аномалија, као што је нови процес настао из необичног надређеног процеса. Командна линија се такође може користити за проверу легитимности процеса. На пример, процес са аргументима који укључује путању датотеке до осетљивих података може указивати на злонамерну намеру. Поље Цреатор Субјецт се може користити да се утврди да ли је кориснички налог повезан са сумњивом активношћу или има повишене привилегије.
Штавише, важно је повезати догађај ИД 4688 са другим релевантним догађајима у систему да би се добио контекст о новокреираном процесу. ИД догађаја 4688 се може повезати са 5156 да би се утврдило да ли је нови процес повезан са било којом мрежном везом. Ако је нови процес повезан са новоинсталираном услугом, догађај 4697 (инсталација услуге) може бити повезан са 4688 да би се пружиле додатне информације. Догађај ИД 5140 (креирање датотеке) се такође може користити за идентификацију нових датотека креираних новим процесом.
У закључку, разумевање контекста система значи одређивање потенцијала утицај процеса. Процес покренут на критичном серверу ће вероватно имати већи утицај од оног који је покренут на самосталној машини. Контекст помаже у усмеравању истраге, одређивању приоритета одговора и управљању ресурсима. Анализом различитих поља у евиденцији догађаја и вршењем корелације са другим догађајима, аномални процеси се могу пратити до њиховог настанка и утврдити узрок.
