Як інтэрпрэтаваць ідэнтыфікатар падзеі бяспекі Windows 4688 падчас расследавання
Увядзенне
па Microsoft, ідэнтыфікатары падзей (таксама званыя ідэнтыфікатарамі падзей) адназначна вызначаюць пэўную падзею. Гэта лікавы ідэнтыфікатар, які прымацоўваецца да кожнай падзеі, зарэгістраванай аперацыйнай сістэмай Windows. Ідэнтыфікатар забяспечвае інфармацыя аб падзеі, якая адбылася і можа выкарыстоўвацца для выяўлення і ліквідацыі праблем, звязаных з працай сістэмы. У гэтым кантэксце падзея адносіцца да любога дзеяння, выкананага сістэмай або карыстальнікам у сістэме. Гэтыя падзеі можна праглядаць у Windows з дапамогай прагляду падзей
Ідэнтыфікатар падзеі 4688 рэгіструецца кожны раз, калі ствараецца новы працэс. Ён дакументуе кожную праграму, выкананую машынай, і яе ідэнтыфікацыйныя даныя, уключаючы стваральніка, мэту і працэс, які яе запусціў. Некалькі падзей рэгіструюцца пад ідэнтыфікатарам падзеі 4688. Пасля ўваходу ў сістэму, Падсістэма дыспетчара сеансаў (SMSS.exe) запускаецца, і падзея 4688 рэгіструецца. Калі сістэма заражана шкоднасным ПЗ, яно, хутчэй за ўсё, створыць новыя працэсы для запуску. Такія працэсы будуць дакументаваны пад ідэнтыфікатарам 4688.
Інтэрпрэтацыя падзеі ID 4688
Каб інтэрпрэтаваць падзею ID 4688, важна разумець розныя палі, уключаныя ў журнал падзей. Гэтыя палі можна выкарыстоўваць для выяўлення любых парушэнняў і адсочвання паходжання працэсу да яго крыніцы.
- Тэма стваральніка: у гэтым полі змяшчаецца інфармацыя аб уліковым запісе карыстальніка, які запытаў стварэнне новага працэсу. Гэта поле дае кантэкст і можа дапамагчы судова-медыцынскім следчым выявіць анамаліі. Ён уключае некалькі падполляў, у тым ліку:
- Ідэнтыфікатар бяспекі (SID)» Згодна з Microsoft, SID - гэта ўнікальнае значэнне, якое выкарыстоўваецца для ідэнтыфікацыі даверанай асобы. Ён выкарыстоўваецца для ідэнтыфікацыі карыстальнікаў на машыне Windows.
- Імя ўліковага запісу: SID вызначана, каб паказаць імя ўліковага запісу, які ініцыяваў стварэнне новага працэсу.
- Дамен уліковага запісу: дамен, да якога належыць кампутар.
- Ідэнтыфікатар ўваходу: унікальнае шаснаццатковае значэнне, якое выкарыстоўваецца для ідэнтыфікацыі сеанса ўваходу карыстальніка. Яго можна выкарыстоўваць для суаднясення падзей, якія змяшчаюць аднолькавы ідэнтыфікатар падзеі.
- Target Subject: у гэтым полі змяшчаецца інфармацыя пра ўліковы запіс карыстальніка, пад якім працуе працэс. Суб'ект, згаданы ў падзеі стварэння працэсу, пры некаторых абставінах можа адрознівацца ад суб'екта, згаданага ў падзеі завяршэння працэсу. Такім чынам, калі стваральнік і мэта не маюць аднолькавага ўваходу ў сістэму, важна ўключыць мэтавую тэму, нават калі яны абодва спасылаюцца на адзін і той жа ідэнтыфікатар працэсу. Падполя такія ж, як у суб'екта стваральніка вышэй.
- Інфармацыя аб працэсе: гэта поле змяшчае падрабязную інфармацыю аб створаным працэсе. Ён уключае некалькі падполляў, у тым ліку:
- Ідэнтыфікатар новага працэсу (PID): унікальнае шаснаццатковае значэнне, прысвоенае новаму працэсу. Аперацыйная сістэма Windows выкарыстоўвае яго для адсочвання актыўных працэсаў.
- Імя новага працэсу: поўны шлях і імя выкананага файла, які быў запушчаны для стварэння новага працэсу.
- Тып ацэнкі маркера: ацэнка маркера - гэта механізм бяспекі, які выкарыстоўваецца Windows для вызначэння таго, ці мае ўліковы запіс карыстальніка права выконваць пэўныя дзеянні. Тып токена, які працэс будзе выкарыстоўваць для запыту павышаных прывілеяў, называецца «тып ацэнкі токена». Ёсць тры магчымыя значэнні для гэтага поля. Тып 1 (%%1936) азначае, што працэс выкарыстоўвае токен карыстальніка па змаўчанні і не запытваў ніякіх спецыяльных дазволаў. Для гэтага поля гэта найбольш распаўсюджанае значэнне. Тып 2 (%%1937) азначае, што працэс запытаў поўныя правы адміністратара для запуску і паспяхова іх атрымаў. Калі карыстальнік запускае прыкладанне або працэс у якасці адміністратара, гэта ўключана. Тып 3 (%%1938) азначае, што працэс атрымаў толькі правы, неабходныя для выканання запытанага дзеяння, нават калі ён запытваў павышаныя прывілеі.
- Абавязковая пазнака: пазнака цэласнасці, прызначаная працэсу.
- Ідэнтыфікатар працэсу стваральніка: унікальнае шаснаццатковае значэнне, прысвоенае працэсу, які ініцыяваў новы працэс.
- Імя працэсу стваральніка: поўны шлях і імя працэсу, які стварыў новы працэс.
- Камандны радок працэсу: змяшчае падрабязную інфармацыю аб аргументах, перададзеных у каманду для запуску новага працэсу. Ён уключае ў сябе некалькі падпалёў, уключаючы бягучы каталог і хэшы.
заключэнне
Пры аналізе працэсу вельмі важна вызначыць, законны ён ці зламысны. Законны працэс можна лёгка ідэнтыфікаваць, гледзячы на інфармацыйныя палі суб'екта стваральніка і працэсу. Ідэнтыфікатар працэсу можна выкарыстоўваць для ідэнтыфікацыі анамалій, такіх як новы працэс, створаны з незвычайнага бацькоўскага працэсу. Камандны радок таксама можна выкарыстоўваць для праверкі легітымнасці працэсу. Напрыклад, працэс з аргументамі, які ўключае шлях да канфідэнцыйных даных, можа сведчыць аб злым намеры. Поле "Тэма стваральніка" можна выкарыстоўваць, каб вызначыць, ці звязаны ўліковы запіс карыстальніка з падазронымі дзеяннямі або мае павышаныя прывілеі.
Акрамя таго, важна суаднесці падзею ID 4688 з іншымі адпаведнымі падзеямі ў сістэме, каб атрымаць кантэкст аб нядаўна створаным працэсе. Ідэнтыфікатар падзеі 4688 можна суаднесці з 5156, каб вызначыць, ці звязаны новы працэс з сеткавымі злучэннямі. Калі новы працэс звязаны з толькі што ўсталяванай службай, падзея 4697 (устаноўка службы) можа быць суаднесена з 4688 для атрымання дадатковай інфармацыі. Ідэнтыфікатар падзеі 5140 (стварэнне файла) таксама можна выкарыстоўваць для ідэнтыфікацыі любых новых файлаў, створаных новым працэсам.
У заключэнне, разуменне кантэксту сістэмы - гэта вызначэнне патэнцыялу ўплыў працэсу. Працэс, ініцыяваны на крытычным серверы, хутчэй за ўсё, будзе мець большы ўплыў, чым працэс, запушчаны на аўтаномнай машыне. Кантэкст дапамагае накіроўваць расследаванне, вызначаць прыярытэты рэагавання і кіраваць рэсурсамі. Аналізуючы розныя палі ў журнале падзей і выконваючы карэляцыю з іншымі падзеямі, анамальныя працэсы можна прасачыць да іх паходжання і вызначыць прычыну.
