როგორ ინტერპრეტაცია Windows უსაფრთხოების მოვლენის ID 4688 გამოძიებაში

შესავალი

მიხედვით microsoft, მოვლენის ID (ასევე უწოდებენ მოვლენის იდენტიფიკატორებს) ცალსახად განსაზღვრავს კონკრეტულ მოვლენას. ეს არის ციფრული იდენტიფიკატორი, რომელიც ერთვის Windows ოპერაციული სისტემის მიერ დარეგისტრირებულ თითოეულ მოვლენას. იდენტიფიკატორი უზრუნველყოფს ინფორმაცია მოვლენის შესახებ, რომელიც მოხდა და შეიძლება გამოყენებულ იქნას სისტემის ოპერაციებთან დაკავშირებული პრობლემების იდენტიფიცირებისთვის და პრობლემების გადასაჭრელად. მოვლენა, ამ კონტექსტში, ეხება სისტემის ან მომხმარებლის მიერ სისტემაში შესრულებულ ნებისმიერ მოქმედებას. ამ მოვლენების ნახვა შესაძლებელია Windows-ზე Event Viewer-ის გამოყენებით

მოვლენის ID 4688 აღირიცხება ახალი პროცესის შექმნისას. იგი ასახავს აპარატის მიერ შესრულებულ თითოეულ პროგრამას და მის საიდენტიფიკაციო მონაცემებს, მათ შორის შემქმნელს, სამიზნეს და მის დაწყებულ პროცესს. რამდენიმე მოვლენა დარეგისტრირებულია მოვლენის ID 4688-ის ქვეშ. შესვლისას   ამოქმედდება  სესიის მენეჯერის ქვესისტემა (SMSS.exe) და იმართება ღონისძიება 4688. თუ სისტემა დაინფიცირებულია მავნე პროგრამით, მავნე პროგრამა სავარაუდოდ შექმნის ახალ პროცესებს გასაშვებად. ასეთი პროცესები იქნება დოკუმენტირებული ID 4688-ით.

 

განათავსეთ Redmine Ubuntu 20.04-ზე AWS-ზე

მოვლენის ინტერპრეტაცია ID 4688

მოვლენის ID 4688-ის ინტერპრეტაციისთვის მნიშვნელოვანია გვესმოდეს სხვადასხვა ველები, რომლებიც შედის მოვლენის ჟურნალში. ეს ველები შეიძლება გამოყენებულ იქნას ნებისმიერი დარღვევების აღმოსაჩენად და პროცესის წარმოშობის თვალყურის დევნებისთვის მის წყარომდე.

• შემქმნელის თემა: ეს ველი შეიცავს ინფორმაციას მომხმარებლის ანგარიშის შესახებ, რომელმაც მოითხოვა ახალი პროცესის შექმნა. ეს ველი უზრუნველყოფს კონტექსტს და შეუძლია დაეხმაროს სასამართლო გამომძიებლებს ანომალიების იდენტიფიცირებაში. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის:

• • უსაფრთხოების იდენტიფიკატორი (SID)” მიხედვით microsoft, SID არის უნიკალური მნიშვნელობა, რომელიც გამოიყენება რწმუნებულის იდენტიფიცირებისთვის. ის გამოიყენება Windows-ის აპარატზე მომხმარებლების იდენტიფიცირებისთვის.
  • ანგარიშის სახელი: SID გადაწყვეტილია აჩვენოს ანგარიშის სახელი, რომელმაც დაიწყო ახალი პროცესის შექმნა.
  • ანგარიშის დომენი: დომენი, რომელსაც ეკუთვნის კომპიუტერი.
  • Logon ID: უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც გამოიყენება მომხმარებლის შესვლის სესიის იდენტიფიცირებისთვის. ის შეიძლება გამოყენებულ იქნას მოვლენების დასაკავშირებლად, რომლებიც შეიცავს იმავე მოვლენის ID-ს.

• სამიზნე თემა: ეს ველი შეიცავს ინფორმაციას მომხმარებლის ანგარიშის შესახებ, რომლის ქვეშაც მიმდინარეობს პროცესი. პროცესის შექმნის მოვლენაში ნახსენები სუბიექტი, ზოგიერთ შემთხვევაში, შეიძლება განსხვავდებოდეს პროცესის შეწყვეტის მოვლენაში აღნიშნული სუბიექტისგან. ასე რომ, როდესაც შემქმნელსა და სამიზნეს არ აქვთ ერთი და იგივე შესვლა, მნიშვნელოვანია სამიზნე სუბიექტის ჩართვა, მიუხედავად იმისა, რომ ორივე მათგანი მიუთითებს იმავე პროცესის ID-ზე. ქვეველები იგივეა, რაც შემქმნელის სუბიექტის ზემოთ.
• პროცესის ინფორმაცია: ამ ველში მოცემულია დეტალური ინფორმაცია შექმნილი პროცესის შესახებ. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის:

• • ახალი პროცესის ID (PID): უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც მინიჭებულია ახალ პროცესზე. Windows ოპერაციული სისტემა იყენებს მას აქტიური პროცესების თვალყურის დევნებისთვის.
  • ახალი პროცესის სახელი: შესრულებადი ფაილის სრული გზა და სახელი, რომელიც დაიწყო ახალი პროცესის შესაქმნელად.
  • ტოკენის შეფასების ტიპი: ჟეტონების შეფასება არის უსაფრთხოების მექანიზმი, რომელსაც იყენებს Windows, რათა დადგინდეს, არის თუ არა მომხმარებლის ანგარიში უფლებამოსილი შეასრულოს კონკრეტული მოქმედება. ჟეტონის ტიპს, რომელსაც პროცესი გამოიყენებს ამაღლებული პრივილეგიების მოთხოვნისას, ეწოდება "ტოკენის შეფასების ტიპი". ამ ველის სამი შესაძლო მნიშვნელობა არსებობს. ტიპი 1 (%%1936) აღნიშნავს, რომ პროცესი იყენებს მომხმარებლის ნაგულისხმევ ჟეტონს და არ მოითხოვა რაიმე სპეციალური ნებართვა. ამ ველისთვის ეს არის ყველაზე გავრცელებული მნიშვნელობა. ტიპი 2 (%%1937) აღნიშნავს, რომ პროცესი მოითხოვდა ადმინისტრატორის სრულ პრივილეგიებს გასაშვებად და წარმატებით მიიღო ისინი. როდესაც მომხმარებელი აწარმოებს აპლიკაციას ან პროცესს, როგორც ადმინისტრატორი, ის ჩართულია. ტიპი 3 (%%1938) აღნიშნავს, რომ პროცესმა მიიღო მხოლოდ მოთხოვნილი მოქმედების განსახორციელებლად საჭირო უფლებები, მიუხედავად იმისა, რომ მოითხოვდა ამაღლებულ პრივილეგიებს.

• • სავალდებულო ეტიკეტი: პროცესისთვის მინიჭებული მთლიანობის ნიშანი. 
  • შემქმნელის პროცესის ID: უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც მინიჭებულია პროცესზე, რომელმაც დაიწყო ახალი პროცესი. 
  • შემქმნელის პროცესის სახელი: სრული გზა და პროცესის სახელი, რომელმაც შექმნა ახალი პროცესი.
  • პროცესის ბრძანების ხაზი: გთავაზობთ დეტალებს ბრძანებაში გადაცემული არგუმენტების შესახებ ახალი პროცესის დასაწყებად. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის მიმდინარე დირექტორიასა და ჰეშებს.

განათავსეთ GoPhish ფიშინგ პლატფორმა Ubuntu 18.04-ზე AWS-ში

დასკვნა

 

პროცესის გაანალიზებისას სასიცოცხლოდ მნიშვნელოვანია იმის დადგენა, არის თუ არა ის ლეგიტიმური თუ მავნე. ლეგიტიმური პროცესის იდენტიფიცირება მარტივად შეიძლება შემქმნელის საგნისა და დამუშავების ინფორმაციის ველების დათვალიერებით. პროცესის ID შეიძლება გამოყენებულ იქნას ანომალიების იდენტიფიცირებისთვის, როგორიცაა ახალი პროცესი, რომელიც წარმოიშვა უჩვეულო მშობელი პროცესიდან. ბრძანების ხაზი ასევე შეიძლება გამოყენებულ იქნას პროცესის ლეგიტიმურობის შესამოწმებლად. მაგალითად, პროცესი არგუმენტებით, რომელიც მოიცავს ფაილის გზას სენსიტიური მონაცემებისკენ, შეიძლება მიუთითებდეს მავნე განზრახვაზე. Creator Subject ველი შეიძლება გამოყენებულ იქნას იმის დასადგენად, არის თუ არა მომხმარებლის ანგარიში დაკავშირებული საეჭვო აქტივობასთან ან აქვს ამაღლებული პრივილეგიები. 

გარდა ამისა, მნიშვნელოვანია მოვლენის ID 4688 სისტემის სხვა შესაბამის მოვლენებთან დაკავშირება ახლად შექმნილი პროცესის კონტექსტის მოსაპოვებლად. მოვლენის ID 4688 შეიძლება იყოს კორელირებული 5156-თან, რათა დადგინდეს, არის თუ არა ახალი პროცესი დაკავშირებული რაიმე ქსელურ კავშირთან. თუ ახალი პროცესი დაკავშირებულია ახლად დაინსტალირებულ სერვისთან, ღონისძიება 4697 (სერვისის ინსტალაცია) შეიძლება იყოს კორელაცია 4688-თან დამატებითი ინფორმაციის მიწოდებისთვის. მოვლენის ID 5140 (ფაილის შექმნა) ასევე შეიძლება გამოყენებულ იქნას ახალი პროცესით შექმნილი ნებისმიერი ახალი ფაილის იდენტიფიცირებისთვის.

დასასრულს, სისტემის კონტექსტის გაგება არის პოტენციალის განსაზღვრა გავლენა პროცესის. კრიტიკულ სერვერზე დაწყებულ პროცესს, სავარაუდოდ, უფრო დიდი გავლენა ექნება, ვიდრე დამოუკიდებელ აპარატზე გაშვებულ პროცესს. კონტექსტი ეხმარება გამოძიების წარმართვას, რეაგირების პრიორიტეტულობას და რესურსების მართვას. მოვლენების ჟურნალში სხვადასხვა ველის გაანალიზებით და სხვა მოვლენებთან კორელაციის შესრულებით, ანომალიური პროცესები შეიძლება დადგინდეს მათი წარმოშობისა და მიზეზის დადგენა.