Si të interpretoni ID-në e Ngjarjes së Sigurisë së Windows 4688 në një hetim

Prezantimi

Sipas microsoft, ID-të e ngjarjeve (të quajtura edhe identifikues ngjarjesh) identifikojnë në mënyrë unike një ngjarje të veçantë. Është një identifikues numerik i bashkangjitur në çdo ngjarje të regjistruar nga sistemi operativ Windows. Identifikuesi ofron informacion për ngjarjen që ka ndodhur dhe mund të përdoret për të identifikuar dhe zgjidhur problemet që lidhen me operacionet e sistemit. Një ngjarje, në këtë kontekst, i referohet çdo veprimi të kryer nga sistemi ose një përdorues në një sistem. Këto ngjarje mund të shikohen në Windows duke përdorur shikuesin e ngjarjeve

Ngjarja ID 4688 regjistrohet sa herë që krijohet një proces i ri. Ai dokumenton çdo program të ekzekutuar nga makina dhe të dhënat e tij identifikuese, duke përfshirë krijuesin, objektivin dhe procesin që e filloi atë. Disa ngjarje regjistrohen nën ID-në e ngjarjes 4688. Pas identifikimit, hapet  Nënsistemi i Menaxherit të Sesionit (SMSS.exe) dhe ngjarja 4688 regjistrohet. Nëse një sistem është i infektuar nga malware, malware ka të ngjarë të krijojë procese të reja për t'u ekzekutuar. Procese të tilla do të dokumentohen nën ID 4688.

 

Vendosni Redmine në Ubuntu 20.04 në AWS

Ngjarja e interpretimit ID 4688

Për të interpretuar ID-në e ngjarjes 4688, është e rëndësishme të kuptoni fushat e ndryshme të përfshira në regjistrin e ngjarjeve. Këto fusha mund të përdoren për të zbuluar çdo parregullsi dhe për të gjurmuar origjinën e një procesi në burimin e tij.

• Subjekti i Krijuesit: kjo fushë ofron informacion në lidhje me llogarinë e përdoruesit që ka kërkuar krijimin e një procesi të ri. Kjo fushë ofron kontekst dhe mund të ndihmojë hetuesit mjeko-ligjorë të identifikojnë anomalitë. Ai përfshin disa nënfusha, duke përfshirë:

• • Identifikuesi i Sigurisë (SID)” Sipas microsoft, SID është një vlerë unike e përdorur për të identifikuar një administrues të besuar. Përdoret për të identifikuar përdoruesit në makinën Windows.
  • Emri i llogarisë: SID është vendosur të tregojë emrin e llogarisë që ka iniciuar krijimin e procesit të ri.
  • Domeni i llogarisë: domeni të cilit i përket kompjuteri.
  • Logon ID: një vlerë unike heksadecimal që përdoret për të identifikuar sesionin e hyrjes së përdoruesit. Mund të përdoret për të lidhur ngjarje që përmbajnë të njëjtin ID të ngjarjes.

• Subjekti i synuar: kjo fushë ofron informacion në lidhje me llogarinë e përdoruesit ku procesi po funksionon. Subjekti i përmendur në ngjarjen e krijimit të procesit, në disa rrethana, mund të jetë i ndryshëm nga subjekti i përmendur në ngjarjen e përfundimit të procesit. Pra, kur krijuesi dhe objektivi nuk kanë të njëjtin identifikim, është e rëndësishme të përfshini subjektin e synuar edhe pse të dy referojnë të njëjtin ID të procesit. Nënfushat janë të njëjta me atë të temës së krijuesit më lart.
• Informacioni i procesit: kjo fushë ofron informacion të detajuar rreth procesit të krijuar. Ai përfshin disa nënfusha, duke përfshirë:

• • ID e procesit të ri (PID): një vlerë unike heksadecimal e caktuar për procesin e ri. Sistemi operativ Windows e përdor atë për të mbajtur gjurmët e proceseve aktive.
  • Emri i procesit të ri: shtegu i plotë dhe emri i skedarit të ekzekutueshëm që u nis për të krijuar procesin e ri.
  • Lloji i Vlerësimit të Tokenit: Vlerësimi i Tokenit është një mekanizëm sigurie i përdorur nga Windows për të përcaktuar nëse një llogari përdoruesi është e autorizuar për të kryer një veprim të caktuar. Lloji i tokenit që do të përdorë një proces për të kërkuar privilegje të larta quhet "lloji i vlerësimit të tokenit". Ekzistojnë tre vlera të mundshme për këtë fushë. Lloji 1 (%%1936) tregon se procesi po përdor tokenin e parazgjedhur të përdoruesit dhe nuk ka kërkuar ndonjë leje të veçantë. Për këtë fushë, është vlera më e zakonshme. Lloji 2 (%%1937) tregon se procesi kërkoi privilegje të plota administratori për t'u ekzekutuar dhe ishte i suksesshëm në marrjen e tyre. Kur një përdorues drejton një aplikacion ose proces si administrator, ai aktivizohet. Lloji 3 (%%1938) tregon se procesi mori vetëm të drejtat e kërkuara për të kryer veprimin e kërkuar, edhe pse ai kërkoi privilegje të larta.

• • Etiketa e detyrueshme: një etiketë integriteti që i është caktuar procesit. 
  • ID-ja e procesit të krijuesit: një vlerë unike heksadecimal e caktuar për procesin që nisi procesin e ri. 
  • Emri i procesit të krijuesit: rruga e plotë dhe emri i procesit që krijoi procesin e ri.
  • Linja e komandës së procesit: jep detaje rreth argumenteve të kaluara në komandë për të inicuar procesin e ri. Ai përfshin disa nënfusha duke përfshirë drejtorinë aktuale dhe hash-et.

Vendosni platformën GoPhish Phishing në Ubuntu 18.04 në AWS

Përfundim

 

Kur analizohet një proces, është jetike të përcaktohet nëse është legjitim apo keqdashës. Një proces legjitim mund të identifikohet lehtësisht duke parë subjektin e krijuesit dhe fushat e informacionit të procesit. ID-ja e procesit mund të përdoret për të identifikuar anomalitë, si p.sh. një proces i ri që krijohet nga një proces prind i pazakontë. Linja e komandës mund të përdoret gjithashtu për të verifikuar legjitimitetin e një procesi. Për shembull, një proces me argumente që përfshin një shteg skedari drejt të dhënave të ndjeshme mund të tregojë qëllime keqdashëse. Fusha Subjekti i Krijuesit mund të përdoret për të përcaktuar nëse llogaria e përdoruesit është e lidhur me aktivitete të dyshimta ose ka privilegje të larta. 

Për më tepër, është e rëndësishme të lidhni ID-në e ngjarjes 4688 me ngjarje të tjera përkatëse në sistem për të fituar kontekstin rreth procesit të krijuar rishtazi. ID-ja e ngjarjes 4688 mund të lidhet me 5156 për të përcaktuar nëse procesi i ri shoqërohet me ndonjë lidhje rrjeti. Nëse procesi i ri shoqërohet me një shërbim të sapo instaluar, ngjarja 4697 (instalimi i shërbimit) mund të lidhet me 4688 për të dhënë informacion shtesë. Ngjarja ID 5140 (krijimi i skedarit) mund të përdoret gjithashtu për të identifikuar çdo skedar të ri të krijuar nga procesi i ri.

Si përfundim, të kuptuarit e kontekstit të sistemit është përcaktimi i potencialit ndikim të procesit. Një proces i nisur në një server kritik ka të ngjarë të ketë një ndikim më të madh se ai i nisur në një makinë të pavarur. Konteksti ndihmon në drejtimin e hetimit, prioritizimin e përgjigjes dhe menaxhimin e burimeve. Duke analizuar fushat e ndryshme në regjistrin e ngjarjeve dhe duke kryer korrelacion me ngjarje të tjera, proceset anormale mund të gjurmohen në origjinën e tyre dhe të përcaktohet shkaku.