Giunsa Paghubad ang Windows Security Event ID 4688 sa usa ka Imbestigasyon

Pasiuna

sumala sa Microsoft, mga ID sa panghitabo (gitawag usab nga mga identifier sa panghitabo) talagsaon nga nagpaila sa usa ka partikular nga panghitabo. Kini usa ka numerical identifier nga gilakip sa matag panghitabo nga gi-log sa Windows operating system. Ang identifier naghatag impormasyon mahitungod sa panghitabo nga nahitabo ug mahimong magamit sa pag-ila ug pagsulbad sa mga problema nga may kalabutan sa mga operasyon sa sistema. Ang usa ka panghitabo, niini nga konteksto, nagtumong sa bisan unsang aksyon nga gihimo sa sistema o usa ka tiggamit sa usa ka sistema. Kini nga mga panghitabo mahimong tan-awon sa Windows gamit ang Event Viewer

Ang panghitabo ID 4688 gi-log sa matag usa ka bag-ong proseso gibuhat. Gidokumento niini ang matag programa nga gipatuman sa makina ug ang nagpaila nga datos niini, lakip ang tiglalang, ang target, ug ang proseso nga nagsugod niini. Daghang mga panghitabo ang gi-log ubos sa event ID 4688. Sa pag-login,  Session Manager Subsystem (SMSS.exe) gilusad, ug ang event 4688 gi-log. Kung ang usa ka sistema nataptan sa malware, ang malware lagmit nga maghimo bag-ong mga proseso nga modagan. Ang maong mga proseso madokumento ubos sa ID 4688.

 

I-deploy ang Redmine sa Ubuntu 20.04 sa AWS

Paghubad ID sa Panghitabo 4688

Aron mahubad ang ID sa panghitabo 4688, hinungdanon nga masabtan ang lainlaing mga natad nga gilakip sa log sa panghitabo. Kini nga mga natad mahimong magamit sa pag-ila sa bisan unsang mga iregularidad ug pagsubay sa gigikanan sa usa ka proseso balik sa gigikanan niini.

• Tiglalang Subject: kini nga field naghatag og impormasyon mahitungod sa user account nga mihangyo sa paghimo sa usa ka bag-ong proseso. Kini nga field naghatag og konteksto ug makatabang sa forensic investigator sa pag-ila sa mga anomaliya. Naglakip kini sa daghang mga subfield, lakip ang:

• • Security Identifier (SID)” Sumala sa Microsoft, ang SID usa ka talagsaon nga bili nga gigamit sa pag-ila sa usa ka sinaligan. Gigamit kini aron mailhan ang mga tiggamit sa makina sa Windows.
  • Ngalan sa Account: ang SID nasulbad aron ipakita ang ngalan sa account nga nagsugod sa paghimo sa bag-ong proseso.
  • Account Domain: ang domain nga gipanag-iya sa kompyuter.
  • Logon ID: usa ka talagsaon nga hexadecimal value nga gigamit sa pag-ila sa sesyon sa logon sa user. Mahimo kining gamiton sa pag-correlate sa mga panghitabo nga adunay parehas nga ID sa panghitabo.

• Target nga Subject: kini nga natad naghatag kasayuran bahin sa account sa gumagamit nga gipadagan sa proseso. Ang hilisgutan nga gihisgutan sa proseso sa paghimo nga panghitabo mahimo, sa pipila ka mga kahimtang, lahi sa hilisgutan nga gihisgutan sa proseso sa pagtapos nga panghitabo. Mao nga, kung ang tiglalang ug ang target walay parehas nga logon, hinungdanon nga ilakip ang target nga hilisgutan bisan kung pareho silang nag-refer sa parehas nga ID sa proseso. Ang mga subfield parehas sa sa magbubuhat nga hilisgutan sa ibabaw.
• Impormasyon sa Proseso: kini nga natad naghatag detalyado nga kasayuran bahin sa gihimo nga proseso. Naglakip kini sa daghang mga subfield, lakip ang:

• • Bag-ong Proseso ID (PID): usa ka talagsaon nga hexadecimal nga kantidad nga gihatag sa bag-ong proseso. Gigamit kini sa Windows operating system aron masubay ang mga aktibo nga proseso.
  • Bag-ong Ngalan sa Proseso: ang bug-os nga dalan ug ngalan sa executable file nga gilusad sa paghimo sa bag-ong proseso.
  • Token Evaluation Type: ang token evaluation usa ka mekanismo sa seguridad nga gigamit sa Windows aron mahibal-an kung ang usa ka user account gitugotan sa paghimo sa usa ka partikular nga aksyon. Ang tipo sa token nga gamiton sa usa ka proseso sa paghangyo ug taas nga mga pribilehiyo gitawag nga “token evaluation type.” Adunay tulo ka posible nga mga kantidad alang niini nga natad. Type 1 (%%1936) nagpasabot nga ang proseso naggamit sa default user token ug wala mangayo ug bisan unsang espesyal nga permiso. Alang sa kini nga uma, kini ang labing kasagaran nga kantidad. Ang Type 2 (%%1937) nagpasabot nga ang proseso nangayo ug bug-os nga mga pribilehiyo sa tagdumala nga modagan ug nagmalampuson sa pagkuha niini. Kung ang usa ka tiggamit nagpadagan sa usa ka aplikasyon o proseso ingon administrador, mahimo kini. Ang Type 3 (%%1938) nagpasabot nga ang proseso nakadawat lamang sa mga katungod nga gikinahanglan sa pagbuhat sa gihangyo nga aksyon, bisan pa nga kini nangayo ug taas nga mga pribilehiyo.

• • Mandatory Label: usa ka label sa integridad nga gihatag sa proseso. 
  • ID sa Proseso sa Magbubuhat: usa ka talagsaon nga hexadecimal nga kantidad nga gihatag sa proseso nga nagsugod sa bag-ong proseso. 
  • Ngalan sa Proseso sa Magbubuhat: bug-os nga agianan ug ngalan sa proseso nga nagmugna sa bag-ong proseso.
  • Process Command Line: naghatag og mga detalye mahitungod sa mga argumento nga gipasa ngadto sa sugo aron sa pagsugod sa bag-ong proseso. Naglakip kini sa daghang mga subfield lakip ang karon nga direktoryo ug mga hash.

I-deploy ang GoPhish Phishing Platform sa Ubuntu 18.04 ngadto sa AWS

Panapos

 

Kung mag-analisar sa usa ka proseso, hinungdanon nga mahibal-an kung kini lehitimo o malisyoso. Ang usa ka lehitimong proseso dali nga mailhan pinaagi sa pagtan-aw sa tiglalang nga hilisgutan ug pagproseso sa mga natad sa impormasyon. Ang Process ID mahimong magamit sa pag-ila sa mga anomaliya, sama sa usa ka bag-ong proseso nga gipatungha gikan sa dili kasagaran nga proseso sa ginikanan. Ang command line mahimo usab nga gamiton sa pagmatuod sa pagkalehitimo sa usa ka proseso. Pananglitan, ang usa ka proseso nga adunay mga argumento nga naglakip sa usa ka agianan sa file ngadto sa sensitibo nga datos mahimong magpaila sa malisyoso nga tuyo. Ang field sa Creator Subject mahimong gamiton aron mahibal-an kung ang user account adunay kalabotan sa kadudahang kalihokan o adunay taas nga mga pribilehiyo. 

Dugang pa, importante nga i-correlate ang event ID 4688 sa ubang may kalabutan nga mga panghitabo sa sistema aron makakuha og konteksto mahitungod sa bag-ong nabuhat nga proseso. Ang Event ID 4688 mahimong ma-correlate sa 5156 aron mahibal-an kung ang bag-ong proseso adunay kalabotan sa bisan unsang koneksyon sa network. Kung ang bag-ong proseso nalangkit sa usa ka bag-ong na-install nga serbisyo, ang panghitabo 4697 (pag-install sa serbisyo) mahimong i-correlate sa 4688 aron mahatagan ang dugang nga kasayuran. Ang Event ID 5140 (pagmugna sa file) mahimo usab nga gamiton sa pag-ila sa bisan unsang bag-ong mga file nga gihimo sa bag-ong proseso.

Sa konklusyon, ang pagsabut sa konteksto sa sistema mao ang pagtino sa potensyal epekto sa proseso. Ang usa ka proseso nga gisugdan sa usa ka kritikal nga server lagmit nga adunay mas dako nga epekto kaysa usa nga gilunsad sa usa ka standalone nga makina. Ang konteksto makatabang sa pagdumala sa imbestigasyon, paghatag prayoridad sa pagtubag ug pagdumala sa mga kapanguhaan. Pinaagi sa pag-analisa sa lain-laing mga field sa event log ug paghimo og correlation sa ubang mga panghitabo, ang mga anomalosong proseso mahimong masubay sa ilang gigikanan ug matino ang hinungdan.