כיצד לפרש את מזהה אירוע האבטחה של Windows 4688 בחקירה

מבוא

לפי מיקרוסופט, מזהי אירועים (נקראים גם מזהי אירועים) מזהים באופן ייחודי אירוע מסוים. זהו מזהה מספרי המצורף לכל אירוע שנרשם על ידי מערכת ההפעלה Windows. המזהה מספק מידע על האירוע שהתרחש וניתן להשתמש בו כדי לזהות ולפתור בעיות הקשורות לפעולות המערכת. אירוע, בהקשר זה, מתייחס לכל פעולה שמבצעת המערכת או משתמש במערכת. ניתן לצפות באירועים אלה ב-Windows באמצעות מציג האירועים

מזהה האירוע 4688 נרשם בכל פעם שנוצר תהליך חדש. הוא מתעד כל תוכנית שמבוצעת על ידי המכונה ונתוני הזיהוי שלה, כולל היוצר, היעד והתהליך שהתחיל אותה. מספר אירועים נרשמים תחת מזהה האירוע 4688. לאחר הכניסה,  Session Manager Subsystem (SMSS.exe) מופעלת, ואירוע 4688 מתועד. אם מערכת נגועה בתוכנה זדונית, התוכנה הזדונית עשויה ליצור תהליכים חדשים להפעלה. תהליכים כאלה יתועדו תחת ID 4688.

 

פרוס Redmine ב- Ubuntu 20.04 ב-AWS

פירוש אירוע מזהה 4688

על מנת לפרש את מזהה האירוע 4688, חשוב להבין את השדות השונים הכלולים ביומן האירועים. ניתן להשתמש בשדות אלו כדי לזהות אי סדרים כלשהם ולעקוב אחר המקור של תהליך חזרה למקורו.

• נושא היוצר: שדה זה מספק מידע על חשבון המשתמש שביקש יצירת תהליך חדש. תחום זה מספק הקשר ויכול לסייע לחוקרים פורנזיים לזהות חריגות. הוא כולל מספר תתי שדות, כולל:

• • מזהה אבטחה (SID)" לפי מיקרוסופט, ה-SID הוא ערך ייחודי המשמש לזיהוי נאמן. הוא משמש לזיהוי משתמשים במחשב Windows.
  • שם החשבון: ה-SID מוגדר כדי להציג את שם החשבון שיזם את יצירת התהליך החדש.
  • דומיין חשבון: הדומיין אליו שייך המחשב.
  • מזהה כניסה: ערך הקסדצימלי ייחודי המשמש לזיהוי הפעלת הכניסה של המשתמש. ניתן להשתמש בו כדי לתאם אירועים המכילים את אותו מזהה אירוע.

• נושא יעד: שדה זה מספק מידע על חשבון המשתמש שהתהליך פועל תחתיו. הנושא המוזכר באירוע יצירת התהליך עשוי, בנסיבות מסוימות, להיות נבדל מהנושא שהוזכר באירוע סיום התהליך. לכן, כאשר ליוצר ולמטרה אין כניסה זהה, חשוב לכלול את נושא היעד למרות ששניהם מתייחסים לאותו תהליך מזהה. שדות המשנה זהים לזה של נושא היוצר למעלה.
• מידע על תהליך: שדה זה מספק מידע מפורט על התהליך שנוצר. הוא כולל מספר תתי שדות, כולל:

• • מזהה תהליך חדש (PID): ערך הקסדצימלי ייחודי שהוקצה לתהליך החדש. מערכת ההפעלה Windows משתמשת בו כדי לעקוב אחר תהליכים פעילים.
  • שם תהליך חדש: הנתיב והשם המלאים של קובץ ההפעלה שהושק ליצירת התהליך החדש.
  • סוג הערכת אסימון: הערכת אסימון היא מנגנון אבטחה המופעל על ידי Windows כדי לקבוע אם חשבון משתמש מורשה לבצע פעולה מסוימת. סוג האסימון שתהליך ישתמש בו כדי לבקש הרשאות מוגברות נקרא "סוג הערכת אסימון". ישנם שלושה ערכים אפשריים עבור שדה זה. סוג 1 (%%1936) מציין שהתהליך משתמש באסימון המשתמש המוגדר כברירת מחדל ולא ביקש הרשאות מיוחדות. עבור תחום זה, זהו הערך הנפוץ ביותר. סוג 2 (%%1937) מציין שהתהליך ביקש הרשאות מנהל מלאות לפעול והצליח להשיג אותן. כאשר משתמש מריץ יישום או תהליך כמנהל, הוא מופעל. סוג 3 (%%1938) מציין שהתהליך קיבל רק את הזכויות הנדרשות לביצוע הפעולה המבוקשת, למרות שהוא ביקש הרשאות מוגברות.

• • תווית חובה: תווית יושר המוקצה לתהליך. 
  • מזהה תהליך יוצר: ערך הקסדצימלי ייחודי המוקצה לתהליך שהחל את התהליך החדש. 
  • שם תהליך היוצר: הנתיב המלא והשם של התהליך שיצר את התהליך החדש.
  • שורת הפקודה תהליך: מספקת פרטים על הארגומנטים שהועברו לפקודה כדי להתחיל את התהליך החדש. הוא כולל מספר שדות משנה כולל הספרייה הנוכחית ו-hashs.

פרוס פלטפורמת דיוג GoPhish ב-Ubuntu 18.04 לתוך AWS

סיכום

 

בעת ניתוח תהליך, חיוני לקבוע אם הוא לגיטימי או זדוני. תהליך לגיטימי ניתן בקלות לזהות על ידי התבוננות בשדות המידע בנושא היוצר והתהליכים. מזהה תהליך יכול לשמש לזיהוי חריגות, כגון תהליך חדש שנוצר מתהליך אב חריג. ניתן להשתמש בשורת הפקודה גם כדי לאמת את הלגיטימיות של תהליך. לדוגמה, תהליך עם ארגומנטים הכולל נתיב קובץ לנתונים רגישים עשוי להצביע על כוונת זדון. ניתן להשתמש בשדה נושא היוצר כדי לקבוע אם חשבון המשתמש משויך לפעילות חשודה או בעל הרשאות מוגברות. 

יתר על כן, חשוב לתאם את מזהה האירוע 4688 עם אירועים רלוונטיים אחרים במערכת כדי לקבל הקשר לגבי התהליך החדש שנוצר. מזהה אירוע 4688 יכול להיות מתואם עם 5156 כדי לקבוע אם התהליך החדש משויך לחיבורי רשת כלשהם. אם התהליך החדש משויך לשירות שהותקן לאחרונה, אירוע 4697 (התקנת שירות) יכול להיות מתואם עם 4688 כדי לספק מידע נוסף. מזהה אירוע 5140 (יצירת קובץ) יכול לשמש גם כדי לזהות כל קובץ חדש שנוצר בתהליך החדש.

לסיכום, הבנת ההקשר של המערכת היא לקבוע את הפוטנציאל השפעה של התהליך. סביר להניח שלתהליך שיוזם בשרת קריטי תהיה השפעה גדולה יותר מאשר לתהליך המופעל במכונה עצמאית. ההקשר עוזר לכוון את החקירה, לתעדף תגובה ולנהל משאבים. על ידי ניתוח השדות השונים ביומן האירועים וביצוע מתאם עם אירועים אחרים, ניתן לאתר תהליכים חריגים למקורם ולקבוע את הסיבה.