Como interpretar o ID de evento de segurança do Windows 4688 em uma investigação
Introdução
De acordo com o Microsoft, os IDs de evento (também chamados de identificadores de evento) identificam exclusivamente um determinado evento. É um identificador numérico anexado a cada evento registrado pelo sistema operacional Windows. O identificador fornece INFORMAÇÕES sobre o evento ocorrido e pode ser usado para identificar e solucionar problemas relacionados às operações do sistema. Um evento, neste contexto, refere-se a qualquer ação executada pelo sistema ou por um usuário em um sistema. Esses eventos podem ser visualizados no Windows usando o Visualizador de eventos
O evento ID 4688 é registrado sempre que um novo processo é criado. Ele documenta cada programa executado pela máquina e seus dados de identificação, incluindo o criador, o alvo e o processo que o iniciou. Vários eventos são registrados sob o ID de evento 4688. Após o login, O Subsistema do Gerenciador de Sessões (SMSS.exe) é iniciado e o evento 4688 é registrado. Se um sistema for infectado por malware, é provável que o malware crie novos processos para serem executados. Tais processos seriam documentados sob o ID 4688.
Interpretando o ID do evento 4688
Para interpretar o ID de evento 4688, é importante entender os diferentes campos incluídos no log de eventos. Esses campos podem ser usados para detectar quaisquer irregularidades e rastrear a origem de um processo de volta à sua origem.
- Assunto Criador: este campo fornece informações sobre a conta do usuário que solicitou a criação de um novo processo. Este campo fornece contexto e pode ajudar os investigadores forenses a identificar anomalias. Inclui vários subcampos, incluindo:
- Identificador de segurança (SID)” de acordo com Microsoft, o SID é um valor exclusivo usado para identificar um trustee. Ele é usado para identificar usuários na máquina Windows.
- Nome da conta: o SID é resolvido para mostrar o nome da conta que iniciou a criação do novo processo.
- Domínio da conta: o domínio ao qual o computador pertence.
- ID de logon: um valor hexadecimal exclusivo usado para identificar a sessão de logon do usuário. Ele pode ser usado para correlacionar eventos que contêm o mesmo ID de evento.
- Assunto alvo: este campo fornece informações sobre a conta de usuário sob a qual o processo está sendo executado. O assunto mencionado no evento de criação do processo pode, em algumas circunstâncias, ser distinto do assunto mencionado no evento de encerramento do processo. Portanto, quando o criador e o destino não tiverem o mesmo logon, é importante incluir o assunto de destino, mesmo que ambos façam referência ao mesmo ID de processo. Os subcampos são os mesmos do assunto do criador acima.
- Informações do Processo: este campo fornece informações detalhadas sobre o processo criado. Inclui vários subcampos, incluindo:
- New Process ID (PID): um valor hexadecimal exclusivo atribuído ao novo processo. O sistema operacional Windows o utiliza para acompanhar os processos ativos.
- Nome do novo processo: o caminho completo e o nome do arquivo executável que foi iniciado para criar o novo processo.
- Tipo de avaliação de token: avaliação de token é um mecanismo de segurança empregado pelo Windows para determinar se uma conta de usuário está autorizada a executar uma determinada ação. O tipo de token que um processo usará para solicitar privilégios elevados é chamado de “tipo de avaliação de token”. Existem três valores possíveis para este campo. O tipo 1 (%%1936) denota que o processo está usando o token de usuário padrão e não solicitou nenhuma permissão especial. Para este campo, é o valor mais comum. Tipo 2 (%%1937) denota que o processo solicitou privilégios totais de administrador para ser executado e obteve êxito em obtê-los. Quando um usuário executa um aplicativo ou processo como administrador, ele é habilitado. O tipo 3 (%%1938) denota que o processo recebeu apenas os direitos necessários para executar a ação solicitada, embora tenha solicitado privilégios elevados.
- Rótulo Obrigatório: um rótulo de integridade atribuído ao processo.
- ID do processo criador: um valor hexadecimal exclusivo atribuído ao processo que iniciou o novo processo.
- Nome do processo criador: caminho completo e nome do processo que criou o novo processo.
- Linha de comando do processo: fornece detalhes sobre os argumentos passados no comando para iniciar o novo processo. Ele inclui vários subcampos, incluindo o diretório atual e hashes.
Conclusão
Ao analisar um processo, é vital determinar se ele é legítimo ou malicioso. Um processo legítimo pode ser facilmente identificado observando o assunto do criador e os campos de informações do processo. O ID do processo pode ser usado para identificar anomalias, como um novo processo gerado a partir de um processo pai incomum. A linha de comando também pode ser usada para verificar a legitimidade de um processo. Por exemplo, um processo com argumentos que inclui um caminho de arquivo para dados confidenciais pode indicar intenção maliciosa. O campo Assunto do criador pode ser usado para determinar se a conta do usuário está associada a atividades suspeitas ou tem privilégios elevados.
Além disso, é importante correlacionar o ID de evento 4688 com outros eventos relevantes no sistema para obter contexto sobre o processo recém-criado. A ID de evento 4688 pode ser correlacionada com 5156 para determinar se o novo processo está associado a alguma conexão de rede. Se o novo processo estiver associado a um serviço recém-instalado, o evento 4697 (instalação de serviço) poderá ser correlacionado com 4688 para fornecer informações adicionais. A ID de evento 5140 (criação de arquivo) também pode ser usada para identificar novos arquivos criados pelo novo processo.
Concluindo, entender o contexto do sistema é determinar o potencial impacto do processo. Um processo iniciado em um servidor crítico provavelmente terá um impacto maior do que um iniciado em uma máquina autônoma. O contexto ajuda a direcionar a investigação, priorizar a resposta e gerenciar recursos. Ao analisar os diferentes campos no log de eventos e realizar a correlação com outros eventos, os processos anômalos podem ser rastreados até sua origem e a causa determinada.
