Windowsin suojaustapahtuman tunnuksen 4688 tulkitseminen tutkimuksessa
esittely
Mukaan Microsoft, tapahtumatunnukset (kutsutaan myös tapahtumatunnisteiksi) yksilöivät tietyn tapahtuman. Se on numeerinen tunniste, joka on liitetty jokaiseen Windows-käyttöjärjestelmän kirjaamaan tapahtumaan. Tunniste tarjoaa tiedot tapahtuneesta tapahtumasta, ja sitä voidaan käyttää järjestelmän toimintaan liittyvien ongelmien tunnistamiseen ja vianmääritykseen. Tapahtumalla tarkoitetaan tässä yhteydessä mitä tahansa toimintaa, jonka järjestelmä tai käyttäjä suorittaa järjestelmässä. Näitä tapahtumia voi tarkastella Windowsissa Event Viewerin avulla
Tapahtumatunnus 4688 kirjataan lokiin aina, kun uusi prosessi luodaan. Se dokumentoi jokaisen koneen suorittaman ohjelman ja sen tunnistetiedot, mukaan lukien luojan, kohteen ja sen käynnistäneen prosessin. Useita tapahtumia kirjataan tapahtumatunnuksella 4688. Kirjautumisen yhteydessä käynnistetään Session Manager -alijärjestelmä (SMSS.exe) ja tapahtuma 4688 kirjataan lokiin. Jos järjestelmä on haittaohjelmien saastuttama, haittaohjelma luo todennäköisesti uusia suoritettavia prosesseja. Tällaiset prosessit dokumentoidaan tunnuksella 4688.
Tulkkaus Tapahtuma ID 4688
Tapahtumatunnuksen 4688 tulkitsemiseksi on tärkeää ymmärtää tapahtumalokin eri kentät. Näitä kenttiä voidaan käyttää mahdollisten epäsäännöllisyyksien havaitsemiseen ja prosessin alkuperän jäljittämiseen sen lähteeseen.
- Creator Subject: tämä kenttä sisältää tietoja käyttäjätilistä, joka pyysi uuden prosessin luomista. Tämä kenttä tarjoaa kontekstin ja voi auttaa rikosteknisiä tutkijoita tunnistamaan poikkeavuuksia. Se sisältää useita alakenttiä, mukaan lukien:
-
- Security Identifier (SID)” mukaan Microsoft, SID on yksilöllinen arvo, jota käytetään edunvalvojan tunnistamiseen. Sitä käytetään käyttäjien tunnistamiseen Windows-koneessa.
- Tilin nimi: SID on määritetty näyttämään sen tilin nimen, joka aloitti uuden prosessin luomisen.
- Tilin verkkotunnus: verkkotunnus, johon tietokone kuuluu.
- Kirjautumistunnus: yksilöllinen heksadesimaaliarvo, jota käytetään käyttäjän kirjautumisistunnon tunnistamiseen. Sitä voidaan käyttää korreloimaan tapahtumia, jotka sisältävät saman tapahtumatunnuksen.
- Kohdeaihe: tässä kentässä on tietoja käyttäjätilistä, jolla prosessi on käynnissä. Prosessin luontitapahtumassa mainittu aihe voi joissain olosuhteissa olla erillinen prosessin lopetustapahtumassa mainitusta aiheesta. Joten kun luojalla ja kohteella ei ole samaa kirjautumista, on tärkeää sisällyttää kohdeaihe, vaikka ne molemmat viittaavat samaan prosessitunnukseen. Alakentät ovat samat kuin yllä olevan luojan aiheen.
- Prosessitiedot: tämä kenttä sisältää yksityiskohtaisia tietoja luodusta prosessista. Se sisältää useita alakenttiä, mukaan lukien:
-
- Uusi prosessitunnus (PID): uudelle prosessille määritetty yksilöllinen heksadesimaaliarvo. Windows-käyttöjärjestelmä käyttää sitä aktiivisten prosessien seurantaan.
- Uuden prosessin nimi: sen suoritettavan tiedoston koko polku ja nimi, joka käynnistettiin uuden prosessin luomiseksi.
- Token Evaluation Type: tunnuksen arviointi on Windowsin käyttämä suojausmekanismi sen määrittämiseksi, onko käyttäjätili valtuutettu suorittamaan tietty toiminto. Tokenin tyyppiä, jota prosessi käyttää korotettujen oikeuksien pyytämiseen, kutsutaan "tunnisteen arviointityypiksi". Tällä kentällä on kolme mahdollista arvoa. Tyyppi 1 (%%1936) tarkoittaa, että prosessi käyttää oletuskäyttäjätunnusta eikä ole pyytänyt erityisiä käyttöoikeuksia. Tässä kentässä se on yleisin arvo. Tyyppi 2 (%%1937) tarkoittaa, että prosessi pyysi täydet järjestelmänvalvojan oikeudet suorittaakseen ja onnistui hankkimaan ne. Kun käyttäjä suorittaa sovelluksen tai prosessin järjestelmänvalvojana, se on käytössä. Tyyppi 3 (%%1938) tarkoittaa, että prosessi sai vain vaaditun toiminnon suorittamiseen tarvittavat oikeudet, vaikka se pyysi korotettuja oikeuksia.
-
- Pakollinen etiketti: prosessille määritetty eheysmerkki.
- Creator Process ID: yksilöllinen heksadesimaaliarvo, joka on määritetty prosessille, joka aloitti uuden prosessin.
- Creator Process Name: uuden prosessin luoneen prosessin koko polku ja nimi.
- Prosessin komentorivi: tarjoaa tietoja argumenteista, jotka on siirretty komentoon uuden prosessin aloittamiseksi. Se sisältää useita alikenttiä, mukaan lukien nykyisen hakemiston ja tiivisteet.
Yhteenveto
Prosessia analysoitaessa on tärkeää määrittää, onko se laillinen vai haitallinen. Laillinen prosessi on helppo tunnistaa katsomalla tekijän aihe- ja prosessitietokenttiä. Prosessitunnusta voidaan käyttää tunnistamaan poikkeavuuksia, kuten uusi prosessi, joka syntyy epätavallisesta pääprosessista. Komentoriviä voidaan käyttää myös prosessin laillisuuden tarkistamiseen. Esimerkiksi prosessi, jossa on argumentteja ja joka sisältää tiedostopolun arkaluontoisiin tietoihin, voi viitata haitalliseen tarkoitukseen. Luojan aihe -kentän avulla voidaan määrittää, liittyykö käyttäjätili epäilyttävään toimintaan vai onko sillä korotettuja oikeuksia.
Lisäksi on tärkeää korreloida tapahtumatunnus 4688 järjestelmän muiden asiaankuuluvien tapahtumien kanssa, jotta saadaan konteksti juuri luodusta prosessista. Tapahtumatunnus 4688 voidaan korreloida 5156:n kanssa sen määrittämiseksi, liittyykö uusi prosessi mihinkään verkkoyhteyksiin. Jos uusi prosessi liittyy äskettäin asennettuun palveluun, tapahtuma 4697 (palvelun asennus) voidaan korreloida 4688:n kanssa lisätietojen saamiseksi. Tapahtumatunnusta 5140 (tiedoston luonti) voidaan käyttää myös uuden prosessin luomien uusien tiedostojen tunnistamiseen.
Yhteenvetona voidaan todeta, että järjestelmän kontekstin ymmärtäminen on potentiaalin määrittäminen vaikutus prosessista. Kriittisellä palvelimella aloitetulla prosessilla on todennäköisesti suurempi vaikutus kuin erillisellä koneella käynnistetyllä prosessilla. Konteksti auttaa ohjaamaan tutkimusta, priorisoimaan vastauksia ja hallitsemaan resursseja. Analysoimalla tapahtumalokin eri kenttiä ja suorittamalla korrelaatio muiden tapahtumien kanssa, poikkeavien prosessien alkuperä voidaan jäljittää ja syy selvittää.
