So interpretieren Sie die Windows-Sicherheitsereignis-ID 4688 in einer Untersuchung

Einleitung

Laut MicrosoftEreignis-IDs (auch Ereignis-IDs genannt) identifizieren ein bestimmtes Ereignis eindeutig. Dabei handelt es sich um eine numerische Kennung, die jedem vom Windows-Betriebssystem protokollierten Ereignis zugeordnet wird. Der Bezeichner liefert Information Informationen über das aufgetretene Ereignis und können zur Identifizierung und Behebung von Problemen im Zusammenhang mit dem Systembetrieb verwendet werden. Ein Ereignis bezieht sich in diesem Zusammenhang auf jede Aktion, die vom System oder einem Benutzer auf einem System ausgeführt wird. Diese Ereignisse können unter Windows mit der Ereignisanzeige angezeigt werden

Die Ereignis-ID 4688 wird jedes Mal protokolliert, wenn ein neuer Prozess erstellt wird. Es dokumentiert jedes von der Maschine ausgeführte Programm und seine identifizierenden Daten, einschließlich des Erstellers, des Ziels und des Prozesses, der es gestartet hat. Mehrere Ereignisse werden unter der Ereignis-ID 4688 protokolliert. Bei der Anmeldung wird das Session Manager-Subsystem (SMSS.exe) gestartet und Ereignis 4688 protokolliert. Wenn ein System mit Malware infiziert ist, erstellt die Malware wahrscheinlich neue auszuführende Prozesse. Solche Vorgänge würden unter der ID 4688 dokumentiert.

 

Stellen Sie Redmine auf Ubuntu 20.04 auf AWS bereit

Interpretieren der Ereignis-ID 4688

Um die Ereignis-ID 4688 zu interpretieren, ist es wichtig, die verschiedenen im Ereignisprotokoll enthaltenen Felder zu verstehen. Mithilfe dieser Felder lassen sich etwaige Unregelmäßigkeiten erkennen und der Ursprung eines Prozesses bis zu seinem Ursprung zurückverfolgen.

• Betreff des Erstellers: Dieses Feld enthält Informationen über das Benutzerkonto, das die Erstellung eines neuen Prozesses angefordert hat. Dieses Feld bietet Kontext und kann forensischen Ermittlern dabei helfen, Anomalien zu erkennen. Es umfasst mehrere Unterfelder, darunter:

• • Security Identifier (SID)“ laut Microsoft, die SID ist ein eindeutiger Wert, der zur Identifizierung eines Treuhänders verwendet wird. Es wird verwendet, um Benutzer auf dem Windows-Computer zu identifizieren.
  • Kontoname: Die SID wird aufgelöst, um den Namen des Kontos anzuzeigen, das die Erstellung des neuen Prozesses initiiert hat.
  • Kontodomäne: Die Domäne, zu der der Computer gehört.
  • Anmelde-ID: Ein eindeutiger Hexadezimalwert, der zur Identifizierung der Anmeldesitzung des Benutzers verwendet wird. Es kann verwendet werden, um Ereignisse zu korrelieren, die dieselbe Ereignis-ID enthalten.

• Zielsubjekt: Dieses Feld enthält Informationen über das Benutzerkonto, unter dem der Prozess ausgeführt wird. Der im Prozesserstellungsereignis erwähnte Betreff kann sich unter bestimmten Umständen von dem im Prozessbeendigungsereignis erwähnten Betreff unterscheiden. Wenn also der Ersteller und das Ziel nicht über dieselben Anmeldedaten verfügen, ist es wichtig, das Zielsubjekt einzubeziehen, auch wenn beide auf dieselbe Prozess-ID verweisen. Die Unterfelder sind die gleichen wie die des Ersteller-Betreffs oben.
• Prozessinformationen: Dieses Feld liefert detaillierte Informationen über den erstellten Prozess. Es umfasst mehrere Unterfelder, darunter:

• • Neue Prozess-ID (PID): ein eindeutiger Hexadezimalwert, der dem neuen Prozess zugewiesen wird. Das Windows-Betriebssystem verwendet es, um aktive Prozesse zu verfolgen.
  • Neuer Prozessname: der vollständige Pfad und Name der ausführbaren Datei, die zum Erstellen des neuen Prozesses gestartet wurde.
  • Token-Auswertungstyp: Die Token-Auswertung ist ein Sicherheitsmechanismus, der von Windows verwendet wird, um festzustellen, ob ein Benutzerkonto berechtigt ist, eine bestimmte Aktion auszuführen. Der Tokentyp, den ein Prozess zum Anfordern erhöhter Berechtigungen verwendet, wird als „Tokenbewertungstyp“ bezeichnet. Für dieses Feld gibt es drei mögliche Werte. Typ 1 (%%1936) gibt an, dass der Prozess das Standardbenutzertoken verwendet und keine besonderen Berechtigungen angefordert hat. Für dieses Feld ist dies der häufigste Wert. Typ 2 (%%1937) gibt an, dass der Prozess zur Ausführung vollständige Administratorrechte angefordert hat und diese erfolgreich erhalten hat. Wenn ein Benutzer eine Anwendung oder einen Prozess als Administrator ausführt, wird diese aktiviert. Typ 3 (%%1938) bedeutet, dass der Prozess nur die Rechte erhalten hat, die zum Ausführen der angeforderten Aktion erforderlich sind, obwohl er erhöhte Berechtigungen angefordert hat.

• • Obligatorisches Label: ein dem Prozess zugewiesenes Integritätslabel. 
  • Erstellerprozess-ID: ein eindeutiger Hexadezimalwert, der dem Prozess zugewiesen wird, der den neuen Prozess initiiert hat. 
  • Name des Erstellerprozesses: vollständiger Pfad und Name des Prozesses, der den neuen Prozess erstellt hat.
  • Prozessbefehlszeile: Bietet Details zu den Argumenten, die an den Befehl übergeben werden, um den neuen Prozess zu starten. Es enthält mehrere Unterfelder, darunter das aktuelle Verzeichnis und Hashes.

Stellen Sie die GoPhish-Phishing-Plattform auf Ubuntu 18.04 in AWS bereit

Zusammenfassung

 

Bei der Analyse eines Prozesses ist es wichtig festzustellen, ob er legitim oder böswillig ist. Ein legitimer Prozess lässt sich leicht anhand der Betreff- und Prozessinformationsfelder des Erstellers identifizieren. Mithilfe der Prozess-ID können Anomalien identifiziert werden, beispielsweise wenn ein neuer Prozess aus einem ungewöhnlichen übergeordneten Prozess hervorgeht. Die Befehlszeile kann auch verwendet werden, um die Legitimität eines Prozesses zu überprüfen. Beispielsweise kann ein Prozess mit Argumenten, die einen Dateipfad zu sensiblen Daten enthalten, auf eine böswillige Absicht hinweisen. Das Feld „Creator Subject“ kann verwendet werden, um festzustellen, ob das Benutzerkonto mit verdächtigen Aktivitäten verknüpft ist oder über erhöhte Berechtigungen verfügt. 

Darüber hinaus ist es wichtig, die Ereignis-ID 4688 mit anderen relevanten Ereignissen im System zu korrelieren, um Kontext über den neu erstellten Prozess zu erhalten. Die Ereignis-ID 4688 kann mit 5156 korreliert werden, um festzustellen, ob der neue Prozess mit Netzwerkverbindungen verknüpft ist. Wenn der neue Prozess mit einem neu installierten Dienst verknüpft ist, kann Ereignis 4697 (Dienstinstallation) mit 4688 korreliert werden, um zusätzliche Informationen bereitzustellen. Die Ereignis-ID 5140 (Dateierstellung) kann auch verwendet werden, um alle neuen Dateien zu identifizieren, die durch den neuen Prozess erstellt wurden.

Zusammenfassend lässt sich sagen, dass das Verständnis des Kontexts des Systems dazu dient, das Potenzial zu bestimmen Einfluss auf des Prozesses. Ein auf einem kritischen Server initiierter Prozess hat wahrscheinlich größere Auswirkungen als ein auf einem eigenständigen Computer gestarteter Prozess. Der Kontext hilft dabei, die Untersuchung zu leiten, Reaktionen zu priorisieren und Ressourcen zu verwalten. Durch die Analyse der verschiedenen Felder im Ereignisprotokoll und die Korrelation mit anderen Ereignissen können anomale Prozesse auf ihren Ursprung zurückgeführt und die Ursache ermittelt werden.