چگونه شناسه رویداد امنیتی ویندوز 4688 را در یک تحقیق تفسیر کنیم

معرفی

مطابق با مایکروسافت، شناسه رویداد (که شناسه رویداد نیز نامیده می شود) به طور منحصر به فرد یک رویداد خاص را شناسایی می کند. این یک شناسه عددی است که به هر رویداد ثبت شده توسط سیستم عامل ویندوز متصل می شود. شناسه ارائه می دهد اطلاعات در مورد رویدادی که رخ داده است و می تواند برای شناسایی و عیب یابی مشکلات مربوط به عملیات سیستم استفاده شود. رویداد، در این زمینه، به هر عملی اطلاق می شود که توسط سیستم یا کاربر در یک سیستم انجام می شود. این رویدادها را می توان با استفاده از Event Viewer در ویندوز مشاهده کرد

شناسه رویداد 4688 هر زمان که فرآیند جدیدی ایجاد شود ثبت می شود. هر برنامه اجرا شده توسط ماشین و داده های شناسایی آن، از جمله سازنده، هدف، و فرآیندی که آن را شروع کرده است را مستند می کند. چندین رویداد تحت شناسه رویداد 4688 ثبت می‌شوند. پس از ورود، سیستم فرعی Session Manager (SMSS.exe) راه‌اندازی می‌شود و رویداد 4688 ثبت می‌شود. اگر سیستمی توسط بدافزار آلوده شود، بدافزار احتمالاً فرآیندهای جدیدی را برای اجرا ایجاد می کند. چنین فرآیندهایی تحت شناسه 4688 مستند می شوند.

 

Redmine را در اوبونتو 20.04 در AWS مستقر کنید

شناسه رویداد تفسیری 4688

برای تفسیر رویداد ID 4688، درک فیلدهای مختلف موجود در گزارش رویداد مهم است. از این فیلدها می توان برای شناسایی هر گونه بی نظمی و ردیابی منشأ فرآیند به منبع آن استفاده کرد.

• Creator Subject: این فیلد اطلاعاتی در مورد حساب کاربری که درخواست ایجاد یک فرآیند جدید را ارائه می دهد. این زمینه زمینه را فراهم می کند و می تواند به بازرسان پزشکی قانونی در شناسایی ناهنجاری ها کمک کند. شامل چندین زیر فیلد از جمله:

• • شناسه امنیتی (SID)» با توجه به مایکروسافت، SID یک مقدار منحصر به فرد است که برای شناسایی یک متولی استفاده می شود. برای شناسایی کاربران در دستگاه ویندوز استفاده می شود.
  • نام حساب: SID برای نشان دادن نام حسابی که ایجاد فرآیند جدید را آغاز کرده است حل می شود.
  • دامنه حساب: دامنه ای که رایانه به آن تعلق دارد.
  • شناسه ورود: یک مقدار هگزادسیمال منحصر به فرد که برای شناسایی جلسه ورود کاربر استفاده می شود. می توان از آن برای مرتبط کردن رویدادهایی که حاوی همان شناسه رویداد هستند استفاده کرد.

• موضوع هدف: این فیلد اطلاعاتی را در مورد حساب کاربری که فرآیند تحت آن اجرا می شود ارائه می دهد. موضوع ذکر شده در رویداد ایجاد فرآیند ممکن است در برخی شرایط از موضوع ذکر شده در رویداد خاتمه فرآیند متمایز باشد. بنابراین، هنگامی که سازنده و هدف دارای یک ورود به سیستم نیستند، مهم است که موضوع مورد نظر را درج کنید حتی اگر هر دو به یک شناسه فرآیند اشاره کنند. فیلدهای فرعی مانند موضوع سازنده بالا هستند.
• اطلاعات فرآیند: این قسمت اطلاعات دقیقی در مورد فرآیند ایجاد شده ارائه می دهد. شامل چندین زیر فیلد از جمله:

• • شناسه فرآیند جدید (PID): یک مقدار هگزادسیمال منحصر به فرد اختصاص داده شده به فرآیند جدید. سیستم عامل ویندوز از آن برای پیگیری فرآیندهای فعال استفاده می کند.
  • New Process Name: مسیر کامل و نام فایل اجرایی که برای ایجاد فرآیند جدید راه اندازی شده است.
  • نوع ارزیابی توکن: ارزیابی رمز یک مکانیسم امنیتی است که توسط ویندوز برای تعیین اینکه آیا یک حساب کاربری مجاز به انجام یک عمل خاص است یا خیر استفاده می شود. نوع توکنی که یک فرآیند برای درخواست امتیازات بالا استفاده می کند، «نوع ارزیابی نشانه» نامیده می شود. سه مقدار ممکن برای این فیلد وجود دارد. نوع 1 (%1936) نشان می‌دهد که فرآیند از رمز پیش‌فرض کاربر استفاده می‌کند و هیچ مجوز خاصی درخواست نکرده است. برای این فیلد، رایج ترین مقدار است. نوع 2 (%1937) نشان می‌دهد که فرآیند برای اجرا کردن، امتیازات کامل مدیر را درخواست کرده و در به دست آوردن آنها موفق بوده است. هنگامی که کاربر یک برنامه یا فرآیند را به عنوان مدیر اجرا می کند، فعال می شود. نوع 3 (%1938) نشان می‌دهد که فرآیند فقط حقوق لازم برای انجام عمل درخواستی را دریافت کرده است، حتی اگر امتیازات بالاتری را درخواست کند.

• • برچسب اجباری: یک برچسب یکپارچگی که به فرآیند اختصاص داده شده است. 
  • شناسه فرآیند خالق: یک مقدار هگزادسیمال منحصر به فرد اختصاص داده شده به فرآیندی که فرآیند جدید را آغاز کرده است. 
  • نام فرآیند خالق: مسیر کامل و نام فرآیندی که فرآیند جدید را ایجاد کرده است.
  • Process Command Line: جزئیاتی در مورد آرگومان های ارسال شده به دستور برای شروع فرآیند جدید ارائه می دهد. این شامل چندین زیر فیلد از جمله دایرکتوری فعلی و هش است.

پلتفرم فیشینگ GoPhish را در اوبونتو 18.04 در AWS مستقر کنید

نتیجه

 

هنگام تجزیه و تحلیل یک فرآیند، تعیین مشروع یا مخرب بودن آن ضروری است. یک فرآیند قانونی را می توان به راحتی با نگاه کردن به زمینه های اطلاعاتی موضوع سازنده و فرآیند شناسایی کرد. شناسه فرآیند می‌تواند برای شناسایی ناهنجاری‌ها استفاده شود، مانند فرآیند جدیدی که از یک فرآیند والد غیرمعمول ایجاد می‌شود. خط فرمان همچنین می تواند برای تأیید مشروعیت یک فرآیند استفاده شود. برای مثال، فرآیندی با آرگومان‌هایی که شامل مسیر فایل به داده‌های حساس می‌شود، ممکن است نشان‌دهنده قصد مخرب باشد. از فیلد Creator Subject می توان برای تعیین اینکه آیا حساب کاربری با فعالیت مشکوک مرتبط است یا دارای امتیازات بالا است، استفاده کرد. 

علاوه بر این، ارتباط شناسه رویداد 4688 با سایر رویدادهای مرتبط در سیستم برای به دست آوردن زمینه در مورد فرآیند جدید ایجاد شده بسیار مهم است. شناسه رویداد 4688 می تواند با 5156 مرتبط شود تا مشخص شود آیا فرآیند جدید با اتصالات شبکه ای مرتبط است یا خیر. اگر فرآیند جدید با یک سرویس تازه نصب شده مرتبط باشد، رویداد 4697 (نصب سرویس) می تواند با 4688 مرتبط شود تا اطلاعات بیشتری ارائه کند. شناسه رویداد 5140 (ایجاد فایل) همچنین می تواند برای شناسایی فایل های جدید ایجاد شده توسط فرآیند جدید استفاده شود.

در نتیجه، درک زمینه سیستم برای تعیین پتانسیل است ضربه از فرآیند فرآیندی که در یک سرور حیاتی آغاز می شود احتمالاً تأثیر بیشتری نسبت به فرآیند راه اندازی شده روی یک ماشین مستقل دارد. زمینه به هدایت تحقیق، اولویت بندی پاسخ و مدیریت منابع کمک می کند. با تجزیه و تحلیل زمینه های مختلف در گزارش رویداد و انجام همبستگی با سایر رویدادها، می توان فرآیندهای غیرعادی را در منشا آنها ردیابی کرد و علت را تعیین کرد.