Hur man tolkar Windows Security Event ID 4688 i en undersökning
Beskrivning
Enligt Microsoft, händelse-ID:n (även kallade händelseidentifierare) identifierar unikt en viss händelse. Det är en numerisk identifierare kopplad till varje händelse som loggas av Windows-operativsystemet. Identifieraren tillhandahåller informationen om händelsen som inträffade och kan användas för att identifiera och felsöka problem relaterade till systemdrift. En händelse, i detta sammanhang, hänvisar till varje åtgärd som utförs av systemet eller en användare på ett system. Dessa händelser kan ses på Windows med hjälp av Event Viewer
Händelse-ID 4688 loggas när en ny process skapas. Den dokumenterar varje program som körs av maskinen och dess identifieringsdata, inklusive skaparen, målet och processen som startade det. Flera händelser loggas under händelse-ID 4688. Vid inloggning, Session Manager Subsystem (SMSS.exe) startas och händelse 4688 loggas. Om ett system är infekterat av skadlig programvara kommer sannolikt skadlig programvara att skapa nya processer att köra. Sådana processer skulle dokumenteras under ID 4688.
Tolka händelse-ID 4688
För att tolka händelse-ID 4688 är det viktigt att förstå de olika fälten som ingår i händelseloggen. Dessa fält kan användas för att upptäcka eventuella oegentligheter och spåra ursprunget till en process tillbaka till dess källa.
- Skaparämne: detta fält ger information om användarkontot som begärde att skapa en ny process. Detta fält ger sammanhang och kan hjälpa kriminaltekniska utredare att identifiera anomalier. Den innehåller flera underfält, inklusive:
- Security Identifier (SID)” Enligt Microsoft, är SID ett unikt värde som används för att identifiera en förvaltare. Den används för att identifiera användare på Windows-datorn.
- Kontonamn: SID:t visar namnet på kontot som initierade skapandet av den nya processen.
- Kontodomän: den domän som datorn tillhör.
- Inloggnings-ID: ett unikt hexadecimalt värde som används för att identifiera användarens inloggningssession. Den kan användas för att korrelera händelser som innehåller samma händelse-ID.
- Målämne: detta fält ger information om användarkontot som processen körs under. Ämnet som nämns i händelsen för att skapa processer kan, under vissa omständigheter, vara skild från ämnet som nämns i händelsen för att avsluta processen. Så när skaparen och målet inte har samma inloggning är det viktigt att inkludera målämnet även om de båda refererar till samma process-ID. Underfälten är desamma som för skaparämnet ovan.
- Processinformation: detta fält ger detaljerad information om den skapade processen. Den innehåller flera underfält, inklusive:
- New Process ID (PID): ett unikt hexadecimalt värde som tilldelas den nya processen. Operativsystemet Windows använder det för att hålla reda på aktiva processer.
- Nytt processnamn: den fullständiga sökvägen och namnet på den körbara filen som startades för att skapa den nya processen.
- Token-utvärderingstyp: token-utvärdering är en säkerhetsmekanism som används av Windows för att avgöra om ett användarkonto är auktoriserat att utföra en viss åtgärd. Typen av token som en process kommer att använda för att begära förhöjda privilegier kallas "token utvärderingstypen." Det finns tre möjliga värden för detta fält. Typ 1 (%%1936) anger att processen använder standardanvändartoken och inte har begärt några speciella behörigheter. För detta fält är det det vanligaste värdet. Typ 2 (%%1937) anger att processen begärde fullständiga administratörsbehörigheter för att köras och lyckades få dem. När en användare kör en applikation eller process som administratör är den aktiverad. Typ 3 (%%1938) anger att processen endast fick de rättigheter som krävs för att utföra den begärda åtgärden, även om den begärde förhöjda privilegier.
- Obligatorisk etikett: en integritetsmärkning som tilldelas processen.
- Skaparprocess-ID: ett unikt hexadecimalt värde som tilldelas processen som initierade den nya processen.
- Skaparens processnamn: fullständig sökväg och namn på processen som skapade den nya processen.
- Process Command Line: ger detaljer om argumenten som skickas till kommandot för att initiera den nya processen. Den innehåller flera underfält inklusive den aktuella katalogen och hash.
Slutsats
När man analyserar en process är det viktigt att avgöra om den är legitim eller skadlig. En legitim process kan lätt identifieras genom att titta på skaparens ämne och processinformationsfält. Process-ID kan användas för att identifiera anomalier, till exempel att en ny process skapas från en ovanlig överordnad process. Kommandoraden kan också användas för att verifiera legitimiteten hos en process. Till exempel kan en process med argument som inkluderar en filsökväg till känslig data indikera uppsåt. Fältet Skaparämne kan användas för att avgöra om användarkontot är associerat med misstänkt aktivitet eller har förhöjda privilegier.
Vidare är det viktigt att korrelera händelse-ID 4688 med andra relevanta händelser i systemet för att få sammanhang kring den nyskapade processen. Händelse-ID 4688 kan korreleras med 5156 för att avgöra om den nya processen är associerad med några nätverksanslutningar. Om den nya processen är associerad med en nyinstallerad tjänst, kan händelse 4697 (tjänstinstallation) korreleras med 4688 för att ge ytterligare information. Event ID 5140 (filskapande) kan också användas för att identifiera alla nya filer som skapats av den nya processen.
Sammanfattningsvis är att förstå systemets sammanhang att bestämma potentialen inverkan av processen. En process som initieras på en kritisk server kommer sannolikt att ha större inverkan än en som startas på en fristående maskin. Kontext hjälper till att styra utredningen, prioritera svar och hantera resurser. Genom att analysera de olika fälten i händelseloggen och utföra korrelation med andra händelser kan anomala processer spåras till deras ursprung och orsaken fastställas.
