Cách diễn giải ID sự kiện bảo mật Windows 4688 trong một cuộc điều tra
Giới thiệu
Theo microsoft, ID sự kiện (còn được gọi là số nhận dạng sự kiện) xác định duy nhất một sự kiện cụ thể. Nó là một mã định danh số được đính kèm với mỗi sự kiện được hệ điều hành Windows ghi lại. Bộ nhận dạng cung cấp thông tin về sự kiện đã xảy ra và có thể được sử dụng để xác định và khắc phục sự cố liên quan đến hoạt động của hệ thống. Một sự kiện, trong ngữ cảnh này, đề cập đến bất kỳ hành động nào được thực hiện bởi hệ thống hoặc người dùng trên hệ thống. Những sự kiện này có thể được xem trên Windows bằng Trình xem sự kiện
ID sự kiện 4688 được ghi lại bất cứ khi nào một quy trình mới được tạo. Nó ghi lại từng chương trình do máy thực thi và dữ liệu nhận dạng của nó, bao gồm người tạo, mục tiêu và quá trình khởi động chương trình đó. Một số sự kiện được ghi dưới ID sự kiện 4688. Khi đăng nhập, Hệ thống con quản lý phiên (SMSS.exe) được khởi chạy và sự kiện 4688 được ghi lại. Nếu một hệ thống bị nhiễm phần mềm độc hại, phần mềm độc hại có khả năng tạo các quy trình mới để chạy. Các quy trình như vậy sẽ được ghi lại theo ID 4688.
Phiên dịch sự kiện ID 4688
Để diễn giải ID sự kiện 4688, điều quan trọng là phải hiểu các trường khác nhau có trong nhật ký sự kiện. Các trường này có thể được sử dụng để phát hiện bất kỳ sự bất thường nào và theo dõi nguồn gốc của quy trình trở lại nguồn của nó.
- Chủ đề người tạo: trường này cung cấp thông tin về tài khoản người dùng đã yêu cầu tạo quy trình mới. Trường này cung cấp ngữ cảnh và có thể giúp các nhà điều tra pháp y xác định các điểm bất thường. Nó bao gồm một số trường con, bao gồm:
- Mã định danh bảo mật (SID)” Theo microsoft, SID là một giá trị duy nhất được sử dụng để xác định người được ủy thác. Nó được sử dụng để xác định người dùng trên máy Windows.
- Tên tài khoản: SID được giải quyết để hiển thị tên của tài khoản đã bắt đầu tạo quy trình mới.
- Tên miền tài khoản: tên miền mà máy tính thuộc về.
- ID đăng nhập: một giá trị thập lục phân duy nhất được sử dụng để xác định phiên đăng nhập của người dùng. Nó có thể được sử dụng để tương quan các sự kiện chứa cùng một ID sự kiện.
- Chủ đề mục tiêu: trường này cung cấp thông tin về tài khoản người dùng mà quy trình đang chạy. Trong một số trường hợp, chủ đề được đề cập trong sự kiện tạo quy trình có thể khác với chủ thể được đề cập trong sự kiện kết thúc quy trình. Vì vậy, khi người tạo và mục tiêu không có cùng một thông tin đăng nhập, điều quan trọng là phải bao gồm chủ thể mục tiêu mặc dù cả hai đều tham chiếu cùng một ID tiến trình. Các trường con giống như trường con của chủ thể tác giả ở trên.
- Thông tin quy trình: trường này cung cấp thông tin chi tiết về quy trình đã tạo. Nó bao gồm một số trường con, bao gồm:
- ID quy trình mới (PID): một giá trị thập lục phân duy nhất được gán cho quy trình mới. Hệ điều hành Windows sử dụng nó để theo dõi các tiến trình đang hoạt động.
- Tên quy trình mới: đường dẫn đầy đủ và tên của tệp thực thi đã được khởi chạy để tạo quy trình mới.
- Loại đánh giá mã thông báo: đánh giá mã thông báo là một cơ chế bảo mật được Windows sử dụng để xác định xem tài khoản người dùng có được phép thực hiện một hành động cụ thể hay không. Loại mã thông báo mà quy trình sẽ sử dụng để yêu cầu các đặc quyền nâng cao được gọi là “loại đánh giá mã thông báo”. Có ba giá trị có thể có cho trường này. Loại 1 (%%1936) biểu thị rằng quy trình đang sử dụng mã thông báo người dùng mặc định và chưa yêu cầu bất kỳ quyền đặc biệt nào. Đối với trường này, nó là giá trị phổ biến nhất. Loại 2 (%%1937) biểu thị rằng quy trình đã yêu cầu các đặc quyền quản trị viên đầy đủ để chạy và đã thành công trong việc lấy chúng. Khi người dùng chạy một ứng dụng hoặc quy trình với tư cách quản trị viên, nó sẽ được bật. Loại 3 (%%1938) biểu thị rằng quy trình chỉ nhận được các quyền cần thiết để thực hiện hành động được yêu cầu, mặc dù nó đã yêu cầu các đặc quyền nâng cao.
- Nhãn bắt buộc: nhãn toàn vẹn được gán cho quy trình.
- ID quy trình của người tạo: một giá trị thập lục phân duy nhất được gán cho quy trình đã khởi tạo quy trình mới.
- Creator Process Name: đường dẫn đầy đủ và tên của process đã tạo process mới.
- Dòng lệnh quy trình: cung cấp chi tiết về các đối số được truyền vào lệnh để bắt đầu quy trình mới. Nó bao gồm một số trường con bao gồm thư mục hiện tại và giá trị băm.
Kết luận
Khi phân tích một quy trình, điều quan trọng là xác định xem nó là hợp pháp hay độc hại. Có thể dễ dàng xác định một quy trình hợp pháp bằng cách xem chủ thể người tạo và các trường thông tin xử lý. ID tiến trình có thể được sử dụng để xác định các điểm bất thường, chẳng hạn như một quy trình mới được sinh ra từ một quy trình gốc bất thường. Dòng lệnh cũng có thể được sử dụng để xác minh tính hợp pháp của một quy trình. Ví dụ: một quy trình có đối số bao gồm đường dẫn tệp đến dữ liệu nhạy cảm có thể biểu thị mục đích xấu. Trường Chủ đề người tạo có thể được sử dụng để xác định xem tài khoản người dùng có được liên kết với hoạt động đáng ngờ hoặc có đặc quyền cao hay không.
Hơn nữa, điều quan trọng là phải tương quan ID sự kiện 4688 với các sự kiện có liên quan khác trong hệ thống để hiểu ngữ cảnh về quy trình mới được tạo. ID sự kiện 4688 có thể tương quan với 5156 để xác định xem quy trình mới có được liên kết với bất kỳ kết nối mạng nào không. Nếu quy trình mới được liên kết với một dịch vụ mới được cài đặt, thì sự kiện 4697 (cài đặt dịch vụ) có thể tương quan với 4688 để cung cấp thêm thông tin. ID sự kiện 5140 (tạo tệp) cũng có thể được sử dụng để xác định bất kỳ tệp mới nào được tạo bởi quy trình mới.
Tóm lại, hiểu bối cảnh của hệ thống là để xác định tiềm năng tác động của quá trình. Một quy trình được bắt đầu trên một máy chủ quan trọng có thể có tác động lớn hơn một quy trình được khởi chạy trên một máy độc lập. Bối cảnh giúp chỉ đạo điều tra, ưu tiên phản hồi và quản lý tài nguyên. Bằng cách phân tích các trường khác nhau trong nhật ký sự kiện và thực hiện mối tương quan với các sự kiện khác, các quy trình bất thường có thể được truy tìm nguồn gốc của chúng và xác định nguyên nhân.
