Cumu interpretà l'ID 4688 di l'avvenimentu di sicurezza di Windows in una Investigazione

mesi 12 fa

Cumu interpretà l'ID 4688 di l'avvenimentu di sicurezza di Windows in una Investigazione

I MUVRINI

Secondu Microsoft, ID di l'avvenimenti (chjamati ancu identificatori di l'avvenimenti) identificanu unicu un avvenimentu particulari. Hè un identificatore numericu attaccatu à ogni avvenimentu registratu da u sistema operatore Windows. L'identificatore furnisce nantu à u corsu circa l'eventu chì hè accadutu è pò esse usatu per identificà è risolve i prublemi riguardanti l'operazioni di u sistema. Un avvenimentu, in questu cuntestu, si riferisce à qualsiasi azzione realizata da u sistema o un utilizatore nantu à un sistema. Questi avvenimenti ponu esse visti in Windows usendu u Event Viewer

L'eventu ID 4688 hè registratu ogni volta chì un novu prucessu hè creatu. Documenta ogni prugramma eseguitu da a macchina è i so dati identificativi, cumpresu u creatore, u mira, è u prucessu chì hà iniziatu. Diversi avvenimenti sò registrati sottu l'identità di l'avvenimentu 4688. In u login, u Session Manager Subsystem (SMSS.exe) hè lanciatu, è l'avvenimentu 4688 hè registratu. Se un sistema hè infettatu da u malware, u malware hè prubabile di creà novi prucessi per eseguisce. Tali prucessi seranu documentati sottu ID 4688.

Implementa Redmine su Ubuntu 20.04 su AWS

Interpretazione di l'ID d'avvenimentu 4688

Per interpretà l'ID di l'avvenimentu 4688, hè impurtante capisce i diversi campi inclusi in u logu di l'avvenimenti. Sti campi ponu esse usatu per detectà ogni irregularità è seguità l'origine di un prucessu torna à a so fonte.

Creator Subject: stu campu furnisce infurmazioni nantu à u contu d'utilizatore chì hà dumandatu a creazione di un novu prucessu. Stu campu furnisce u cuntestu è pò aiutà l'investigatori forensi à identificà anomalie. Include parechji sottocampi, cumprese:

- Identificatore di Sicurezza (SID) "Segundu Microsoft, u SID hè un valore unicu utilizatu per identificà un trustee. Hè adupratu per identificà l'utilizatori nantu à a macchina Windows.
- Account Name: u SID hè risoltu per vede u nome di u contu chì hà iniziatu a creazione di u novu prucessu.
- Account Domain: u duminiu chì l'urdinatore appartene.
- ID di login: un valore esadecimale unicu chì hè utilizatu per identificà a sessione di login di l'utilizatore. Pò esse usatu per correlate l'avvenimenti chì cuntenenu u stessu ID d'avvenimentu.

Target Subject: stu campu furnisce infurmazioni nantu à u contu d'utilizatore chì u prucessu hè in esecuzione. U sughjettu citatu in l'avvenimentu di creazione di prucessu pò, in certi circustanze, esse distintu da u sughjettu citatu in l'avvenimentu di terminazione di u prucessu. Allora, quandu u creatore è u target ùn anu micca u stessu login, hè impurtante include u sughjettu di destinazione ancu s'ellu si riferiscenu tramindui à u stessu ID di prucessu. I subcampi sò listessi di quellu di u sughjettu di u creatore sopra.
Prucessu Information: stu campu furnisce infurmazioni detallati nantu à u prucessu creatu. Include parechji sottocampi, cumprese:

- New Process ID (PID): un valore esadecimale unicu assignatu à u novu prucessu. U sistema upirativu Windows si usa per seguità i prucessi attivi.
- New Process Name: u percorsu sanu è u nome di u schedariu eseguibile chì hè stata lanciata per creà u novu prucessu.
- Tipu di valutazione di u token: a valutazione di u token hè un mecanismu di sicurezza impiegatu da Windows per determinà se un contu d'utilizatore hè autorizatu à fà una azione particulare. U tipu di token chì un prucessu utilizerà per dumandà privilegi elevati hè chjamatu "tippu di valutazione di token". Ci sò trè valori pussibuli per stu campu. Tipu 1 (%%1936) denota chì u prucessu usa u token d'utilizatore predeterminatu è ùn hà micca dumandatu alcun permessu speciale. Per questu campu, hè u valore più cumuni. U tipu 2 (%% 1937) denota chì u prucessu hà dumandatu privilegi di amministratore cumpletu per esse esecutatu è hà successu à ottene. Quandu un utilizatore esegue una applicazione o prucessu cum'è amministratore, hè attivatu. U tipu 3 (%%1938) denota chì u prucessu hà ricevutu solu i diritti necessarii per fà l'azzione dumandata, ancu s'ellu hà dumandatu privilegi elevati.

- Etichetta Obligatoria: una etichetta di integrità assignata à u prucessu.
- Creator Process ID: un valore esadecimale unicu assignatu à u prucessu chì hà iniziatu u novu prucessu.
- Creator Process Name: percorsu cumpletu è nome di u prucessu chì hà creatu u novu prucessu.
- Linea di cummanda di prucessu: furnisce dettagli nantu à l'argumenti passati in u cumandimu per inizià u novu prucessu. Include parechji sottocampi cumpresi l'annuariu attuale è l'hash.

Implementa GoPhish Phishing Platform in Ubuntu 18.04 in AWS

cunchiusioni

Quandu analizà un prucessu, hè vitale per determinà s'ellu hè legittimu o maliziusu. Un prucessu legittimu pò esse facilmente identificatu fighjendu u sughjettu di u creatore è i campi d'infurmazione di prucessu. L'ID di prucessu pò esse usatu per identificà anomalie, cum'è un novu prucessu chì hè generatu da un prucessu parentale inusual. A linea di cumanda pò ancu esse usata per verificà a legittimità di un prucessu. Per esempiu, un prucessu cù argumenti chì include una strada di u schedariu à e dati sensittivi pò indicà intenzioni maliziusi. U campu Creator Subject pò esse usatu per determinà se u contu d'utilizatore hè assuciatu cù attività sospette o hà privilegi elevati.

Inoltre, hè impurtante correlate l'ID di l'avvenimentu 4688 cù altri avvenimenti pertinenti in u sistema per acquistà cuntestu nantu à u prucessu di novu creatu. Event ID 4688 pò esse correlate cù 5156 per stabilisce se u novu prucessu hè assuciatu cù qualsiasi cunnessione di rete. Se u novu prucessu hè assuciatu cù un serviziu novu installatu, l'avvenimentu 4697 (installazione di serviziu) pò esse correlate cù 4688 per furnisce infurmazioni supplementari. Event ID 5140 (creazione di u schedariu) pò ancu esse usatu per identificà ogni novu schedariu creatu da u novu prucessu.

In cunclusioni, capisce u cuntestu di u sistema hè di determinà u putenziale impact di u prucessu. Un prucessu iniziatu nantu à un servitore criticu hè prubabile di avè un impattu più grande ch'è quellu lanciatu nantu à una macchina standalone. U cuntestu aiuta à dirige l'inchiesta, priorità a risposta è gestisce e risorse. Analizendu i sferenti campi in u logu di l'eventi è eseguendu a correlazione cù altri avvenimenti, i prucessi anomali ponu esse tracciati à a so origine è a causa determinata.