Como interpretar o ID de evento de segurança do Windows 4688 em uma investigação

Introdução

De acordo com o Microsoft, os IDs de evento (também chamados de identificadores de evento) identificam exclusivamente um determinado evento. É um identificador numérico anexado a cada evento registrado pelo sistema operacional Windows. O identificador fornece INFORMAÇÕES sobre o evento ocorrido e pode ser usado para identificar e solucionar problemas relacionados às operações do sistema. Um evento, neste contexto, refere-se a qualquer ação executada pelo sistema ou por um usuário em um sistema. Esses eventos podem ser visualizados no Windows usando o Visualizador de eventos

O evento ID 4688 é registrado sempre que um novo processo é criado. Documenta cada programa executado pela máquina e seus dados de identificação, incluindo o criador, o alvo e o processo que o iniciou. Vários eventos são registrados com o ID de evento 4688. Após o login, o Session Manager Subsystem (SMSS.exe) é iniciado e o evento 4688 é registrado. Se um sistema for infectado por malware, é provável que o malware crie novos processos para execução. Tais processos seriam documentados sob o ID 4688.

 

Implante o Redmine no Ubuntu 20.04 na AWS

Interpretando o ID do evento 4688

Para interpretar o ID de evento 4688, é importante entender os diferentes campos incluídos no log de eventos. Esses campos podem ser usados ​​para detectar quaisquer irregularidades e rastrear a origem de um processo de volta à sua origem.

• Assunto Criador: este campo fornece informações sobre a conta do usuário que solicitou a criação de um novo processo. Este campo fornece contexto e pode ajudar os investigadores forenses a identificar anomalias. Inclui vários subcampos, incluindo:

• • Identificador de segurança (SID)” de acordo com Microsoft, o SID é um valor exclusivo usado para identificar um trustee. Ele é usado para identificar usuários na máquina Windows.
  • Nome da conta: o SID é resolvido para mostrar o nome da conta que iniciou a criação do novo processo.
  • Domínio da conta: o domínio ao qual o computador pertence.
  • ID de logon: um valor hexadecimal exclusivo usado para identificar a sessão de logon do usuário. Ele pode ser usado para correlacionar eventos que contêm o mesmo ID de evento.

• Assunto alvo: este campo fornece informações sobre a conta de usuário sob a qual o processo está sendo executado. O assunto mencionado no evento de criação do processo pode, em algumas circunstâncias, ser distinto do assunto mencionado no evento de encerramento do processo. Portanto, quando o criador e o destino não tiverem o mesmo logon, é importante incluir o assunto de destino, mesmo que ambos façam referência ao mesmo ID de processo. Os subcampos são os mesmos do assunto do criador acima.
• Informações do Processo: este campo fornece informações detalhadas sobre o processo criado. Inclui vários subcampos, incluindo:

• • New Process ID (PID): um valor hexadecimal exclusivo atribuído ao novo processo. O sistema operacional Windows o utiliza para acompanhar os processos ativos.
  • Nome do novo processo: o caminho completo e o nome do arquivo executável que foi iniciado para criar o novo processo.
  • Tipo de avaliação de token: a avaliação de token é um mecanismo de segurança empregado pelo Windows para determinar se uma conta de usuário está autorizada a executar uma ação específica. O tipo de token que um processo usará para solicitar privilégios elevados é chamado de “tipo de avaliação de token”. Existem três valores possíveis para este campo. O tipo 1 (%%1936) indica que o processo está usando o token de usuário padrão e não solicitou nenhuma permissão especial. Para este campo, é o valor mais comum. O tipo 2 (%%1937) indica que o processo solicitou privilégios totais de administrador para ser executado e obteve êxito em obtê-los. Quando um usuário executa um aplicativo ou processo como administrador, ele é habilitado. O tipo 3 (%%1938) denota que o processo recebeu apenas os direitos necessários para realizar a ação solicitada, embora tenha solicitado privilégios elevados.

• • Rótulo Obrigatório: um rótulo de integridade atribuído ao processo. 
  • ID do processo criador: um valor hexadecimal exclusivo atribuído ao processo que iniciou o novo processo. 
  • Nome do processo criador: caminho completo e nome do processo que criou o novo processo.
  • Linha de comando do processo: fornece detalhes sobre os argumentos passados ​​no comando para iniciar o novo processo. Ele inclui vários subcampos, incluindo o diretório atual e hashes.

Implante a plataforma de phishing GoPhish no Ubuntu 18.04 na AWS

Conclusão

 

Ao analisar um processo, é vital determinar se ele é legítimo ou malicioso. Um processo legítimo pode ser facilmente identificado observando o assunto do criador e os campos de informações do processo. O ID do processo pode ser usado para identificar anomalias, como um novo processo gerado a partir de um processo pai incomum. A linha de comando também pode ser usada para verificar a legitimidade de um processo. Por exemplo, um processo com argumentos que inclui um caminho de arquivo para dados confidenciais pode indicar intenção maliciosa. O campo Assunto do criador pode ser usado para determinar se a conta do usuário está associada a atividades suspeitas ou tem privilégios elevados. 

Além disso, é importante correlacionar o ID de evento 4688 com outros eventos relevantes no sistema para obter contexto sobre o processo recém-criado. A ID de evento 4688 pode ser correlacionada com 5156 para determinar se o novo processo está associado a alguma conexão de rede. Se o novo processo estiver associado a um serviço recém-instalado, o evento 4697 (instalação de serviço) poderá ser correlacionado com 4688 para fornecer informações adicionais. A ID de evento 5140 (criação de arquivo) também pode ser usada para identificar novos arquivos criados pelo novo processo.

Concluindo, entender o contexto do sistema é determinar o potencial impacto do processo. Um processo iniciado em um servidor crítico provavelmente terá um impacto maior do que um iniciado em uma máquina autônoma. O contexto ajuda a direcionar a investigação, priorizar a resposta e gerenciar recursos. Ao analisar os diferentes campos no log de eventos e realizar a correlação com outros eventos, os processos anômalos podem ser rastreados até sua origem e a causa determinada.