Windows-beveiligingsgebeurtenis-ID 4688 interpreteren tijdens een onderzoek
Introductie
Think Microsoft, identificeren gebeurtenis-ID's (ook wel gebeurtenis-ID's genoemd) een bepaalde gebeurtenis op unieke wijze. Het is een numerieke identificatie die is gekoppeld aan elke gebeurtenis die door het Windows-besturingssysteem wordt geregistreerd. De identifier biedt informatie informatie over de gebeurtenis die heeft plaatsgevonden en kan worden gebruikt om problemen met betrekking tot systeembewerkingen te identificeren en op te lossen. Een gebeurtenis verwijst in deze context naar elke actie die door het systeem of een gebruiker op een systeem wordt uitgevoerd. Deze gebeurtenissen kunnen op Windows worden bekeken met behulp van de Event Viewer
De gebeurtenis-ID 4688 wordt vastgelegd wanneer een nieuw proces wordt gemaakt. Het documenteert elk programma dat door de machine wordt uitgevoerd en de identificerende gegevens, inclusief de maker, het doelwit en het proces waarmee het is gestart. Verschillende gebeurtenissen worden gelogd onder de gebeurtenis-ID 4688. Bij het inloggen Session Manager Subsystem (SMSS.exe) wordt gestart en gebeurtenis 4688 wordt geregistreerd. Als een systeem is geïnfecteerd door malware, zal de malware waarschijnlijk nieuwe processen creëren die moeten worden uitgevoerd. Dergelijke processen zouden worden gedocumenteerd onder ID 4688.
Gebeurtenis-ID 4688 interpreteren
Om gebeurtenis-ID 4688 te interpreteren, is het belangrijk om de verschillende velden in het gebeurtenislogboek te begrijpen. Deze velden kunnen worden gebruikt om eventuele onregelmatigheden op te sporen en de oorsprong van een proces terug te volgen naar de bron.
- Creator Subject: dit veld geeft informatie over het gebruikersaccount dat heeft verzocht om het aanmaken van een nieuw proces. Dit veld biedt context en kan forensisch onderzoekers helpen bij het identificeren van afwijkingen. Het bevat verschillende subvelden, waaronder:
- Security Identifier (SID)” aldus Microsoft, is de SID een unieke waarde die wordt gebruikt om een trustee te identificeren. Het wordt gebruikt om gebruikers op de Windows-machine te identificeren.
- Accountnaam: de SID is opgelost om de naam weer te geven van het account dat de aanmaak van het nieuwe proces heeft geïnitieerd.
- Accountdomein: het domein waartoe de computer behoort.
- Aanmeldings-ID: een unieke hexadecimale waarde die wordt gebruikt om de aanmeldingssessie van de gebruiker te identificeren. Het kan worden gebruikt om gebeurtenissen te correleren die dezelfde gebeurtenis-ID bevatten.
- Doelonderwerp: dit veld geeft informatie over het gebruikersaccount waaronder het proces wordt uitgevoerd. Het onderwerp dat wordt genoemd in de procesaanmaakgebeurtenis kan in sommige omstandigheden verschillen van het onderwerp dat wordt genoemd in de procesbeëindigingsgebeurtenis. Dus als de maker en het doel niet dezelfde aanmelding hebben, is het belangrijk om het doelonderwerp op te nemen, ook al verwijzen ze allebei naar hetzelfde proces-ID. De subvelden zijn dezelfde als die van het onderwerp van de maker hierboven.
- Procesinformatie: dit veld geeft gedetailleerde informatie over het aangemaakte proces. Het bevat verschillende subvelden, waaronder:
- New Process ID (PID): een unieke hexadecimale waarde die aan het nieuwe proces is toegewezen. Het Windows-besturingssysteem gebruikt het om actieve processen bij te houden.
- Nieuwe procesnaam: het volledige pad en de naam van het uitvoerbare bestand dat is gestart om het nieuwe proces te maken.
- Tokenevaluatietype: tokenevaluatie is een beveiligingsmechanisme dat door Windows wordt gebruikt om te bepalen of een gebruikersaccount geautoriseerd is om een bepaalde actie uit te voeren. Het type token dat een proces zal gebruiken om verhoogde bevoegdheden aan te vragen, wordt het "tokenevaluatietype" genoemd. Er zijn drie mogelijke waarden voor dit veld. Type 1 (%%1936) geeft aan dat het proces het standaardgebruikerstoken gebruikt en geen speciale machtigingen heeft aangevraagd. Voor dit veld is dit de meest voorkomende waarde. Type 2 (%%1937) geeft aan dat het proces om volledige beheerdersrechten vroeg om te worden uitgevoerd en dat het gelukt is deze te verkrijgen. Wanneer een gebruiker een toepassing of proces uitvoert als beheerder, wordt deze ingeschakeld. Type 3 (%%1938) geeft aan dat het proces alleen de rechten heeft gekregen die nodig zijn om de gevraagde actie uit te voeren, ook al heeft het om verhoogde privileges gevraagd.
- Verplicht label: een integriteitslabel dat aan het proces wordt toegekend.
- Creator Process ID: een unieke hexadecimale waarde die is toegewezen aan het proces dat het nieuwe proces heeft gestart.
- Creator Process Name: volledig pad en naam van het proces dat het nieuwe proces heeft gemaakt.
- Procesopdrachtregel: geeft details over de argumenten die aan de opdracht zijn doorgegeven om het nieuwe proces te starten. Het bevat verschillende subvelden, waaronder de huidige directory en hashes.
Conclusie
Bij het analyseren van een proces is het essentieel om te bepalen of het legitiem of kwaadaardig is. Een legitiem proces kan eenvoudig worden geïdentificeerd door te kijken naar het onderwerp van de maker en de procesinformatievelden. Proces-ID kan worden gebruikt om anomalieën te identificeren, zoals een nieuw proces dat voortkomt uit een ongebruikelijk bovenliggend proces. De opdrachtregel kan ook worden gebruikt om de legitimiteit van een proces te verifiëren. Een proces met argumenten dat een bestandspad naar gevoelige gegevens bevat, kan bijvoorbeeld duiden op kwaadwillende bedoelingen. Het veld Makeronderwerp kan worden gebruikt om te bepalen of het gebruikersaccount is gekoppeld aan verdachte activiteiten of verhoogde bevoegdheden heeft.
Bovendien is het belangrijk om gebeurtenis-ID 4688 te correleren met andere relevante gebeurtenissen in het systeem om context te krijgen over het nieuw gecreëerde proces. Gebeurtenis-ID 4688 kan worden gecorreleerd met 5156 om te bepalen of het nieuwe proces is gekoppeld aan netwerkverbindingen. Als het nieuwe proces is gekoppeld aan een nieuw geïnstalleerde service, kan gebeurtenis 4697 (service-installatie) worden gecorreleerd met 4688 om aanvullende informatie te geven. Gebeurtenis-ID 5140 (aanmaken van bestanden) kan ook worden gebruikt om nieuwe bestanden te identificeren die door het nieuwe proces zijn gemaakt.
Kortom, het begrijpen van de context van het systeem is het bepalen van het potentieel invloed van het proces. Een proces dat op een kritieke server wordt gestart, heeft waarschijnlijk een grotere impact dan een proces dat op een zelfstandige machine wordt gestart. Context helpt bij het sturen van het onderzoek, het prioriteren van reacties en het beheren van middelen. Door de verschillende velden in het gebeurtenislogboek te analyseren en correlaties met andere gebeurtenissen uit te voeren, kunnen afwijkende processen worden herleid tot hun oorsprong en kan de oorzaak worden bepaald.
