Nola interpretatu Windows Security Event ID 4688 ikerketa batean

Sarrera

Arabera Microsoft, gertaeren IDek (gertaera-identifikatzaileak ere deitzen zaie) gertaera jakin bat modu esklusiboan identifikatzen dute. Windows sistema eragileak erregistratutako gertaera bakoitzari erantsitako zenbakizko identifikatzaile bat da. Identifikatzaileak ematen du informazio gertatutako gertakariari buruz eta sistemaren eragiketekin lotutako arazoak identifikatzeko eta konpontzeko erabil daiteke. Gertaera batek, testuinguru honetan, sistemak edo erabiltzaile batek sistema batean egindako edozein ekintzari egiten dio erreferentzia. Gertaera hauek Windows-en ikus daitezke Gertaera-ikustailea erabiliz

4688 gertaera IDa erregistratzen da prozesu berri bat sortzen den bakoitzean. Makinak exekutatutako programa bakoitza eta bere identifikazio-datuak dokumentatzen ditu, sortzailea, xedea eta abiarazi duen prozesua barne. Hainbat gertaera 4688 gertaera IDarekin erregistratzen dira. Saioa hasten denean,  Session Manager Subsystem (SMSS.exe) abiarazten da eta 4688 gertaera erregistratzen da. Sistema bat malwarez kutsatuta badago, litekeena da malwareak prozesu berriak sortzea exekutatzeko. Prozesu horiek 4688 IDarekin dokumentatuta egongo lirateke.

 

Inplementatu Redmine Ubuntu 20.04-n AWS-n

Gertaera ID 4688 interpretatzea

4688 gertaera ID interpretatzeko, garrantzitsua da gertaeren erregistroan sartutako eremu desberdinak ulertzea. Eremu hauek edozein irregulartasun detektatzeko eta prozesu baten jatorria bere jatorriraino jarraitzeko erabil daitezke.

• Sortzailearen gaia: eremu honek prozesu berri bat sortzea eskatu duen erabiltzaile-kontuari buruzko informazioa eskaintzen du. Eremu honek testuingurua eskaintzen du eta auzitegi-ikertzaileei anomaliak identifikatzen lagun diezaieke. Hainbat azpieremu barne hartzen ditu, besteak beste:

• • Segurtasun Identifikatzailea (SID)” arabera Microsoft, SID fidagarri bat identifikatzeko erabiltzen den balio bakarra da. Windows makinan erabiltzaileak identifikatzeko erabiltzen da.
  • Kontuaren izena: SID prozesu berria sortzeari ekin dion kontuaren izena erakusteko ebazten da.
  • Kontuaren domeinua: ordenagailuari dagokion domeinua.
  • Saioa hasteko IDa: balio hamaseitar esklusibo bat, erabiltzailearen saioa hasteko saioa identifikatzeko erabiltzen dena. Gertaeren ID bera duten gertaerak erlazionatzeko erabil daiteke.

• Xede-gaia: eremu honek prozesua exekutatzen ari den erabiltzaile-kontuari buruzko informazioa eskaintzen du. Prozesua sortzeko ekitaldian aipatzen den gaia, zenbait kasutan, prozesuaren amaierako ekitaldian aipatutako subjektutik bereiztea izan daiteke. Beraz, sortzaileak eta xedeak saio-hasiera bera ez dutenean, garrantzitsua da xede-gaia sartzea, nahiz eta biek prozesu ID bera aipatzen duten. Azpieremuak goiko sortzailearen gaiaren berdinak dira.
• Prozesuaren informazioa: eremu honek sortutako prozesuari buruzko informazio zehatza eskaintzen du. Hainbat azpieremu barne hartzen ditu, besteak beste:

• • Prozesuaren ID berria (PID): prozesu berriari esleitutako balio hamaseitar bakarra. Windows sistema eragileak prozesu aktiboen jarraipena egiteko erabiltzen du.
  • Prozesuaren izena berria: prozesu berria sortzeko abiarazi den fitxategi exekutagarriaren bide osoa eta izena.
  • Token ebaluazio mota: token ebaluazioa Windows-ek erabiltzen duen segurtasun-mekanismo bat da, erabiltzaile-kontu batek ekintza jakin bat egiteko baimena duen zehazteko. Prozesu batek pribilegio altuak eskatzeko erabiliko duen token motari "token ebaluazio mota" deitzen zaio. Eremu honetarako hiru balio posible daude. 1 motak (%%1936) prozesuak erabiltzaile-token lehenetsia erabiltzen ari dela adierazten du eta ez duela baimen berezirik eskatu. Eremu honetarako, baliorik ohikoena da. 2 motak (%%1937) adierazten du prozesuak administratzaile-pribilegio osoak eskatu zituela exekutatzeko eta horiek lortu zituela. Erabiltzaile batek aplikazio edo prozesu bat administratzaile gisa exekutatzen duenean, gaituta dago. 3. motak (%%1938) adierazten du prozesuak eskatutako ekintza burutzeko beharrezkoak diren eskubideak soilik jaso zituela, pribilegio altuak eskatu bazituen ere.

• • Derrigorrezko etiketa: prozesuari esleitutako osotasun etiketa. 
  • Sortzaile-prozesuaren IDa: prozesu berria hasi zuen prozesuari esleitutako balio hamaseitar esklusiboa. 
  • Sortzaile-prozesuaren izena: prozesu berria sortu duen prozesuaren bide osoa eta izena.
  • Prozesuaren komando-lerroa: prozesu berria abiarazteko komandoari emandako argumentuei buruzko xehetasunak ematen ditu. Hainbat azpieremu barne hartzen ditu uneko direktorioa eta hashak barne.

Inplementatu GoPhish Phishing Plataforma Ubuntu 18.04-n AWS-n

Ondorioa

 

Prozesu bat aztertzean, ezinbestekoa da legezkoa edo gaiztoa den zehaztea. Legezko prozesu bat erraz identifikatu daiteke sortzailearen gaia eta prozesatzeko informazio-eremuak aztertuz. Prozesuaren IDa anomaliak identifikatzeko erabil daiteke, adibidez, ezohiko prozesu nagusi batetik sortzen den prozesu berri bat. Komando-lerroa prozesu baten zilegitasuna egiaztatzeko ere erabil daiteke. Adibidez, datu sentikorretarako fitxategi-bide bat barne hartzen duen argumentuak dituen prozesu batek asmo txarreko asmo bat adieraz dezake. Sortzailearen gaia eremua erabil daiteke erabiltzaile-kontua jarduera susmagarriekin erlazionatuta dagoen edo pribilegio handiak dituen zehazteko. 

Gainera, garrantzitsua da 4688 gertaera IDa sistemako beste gertaera garrantzitsu batzuekin korrelatzea, sortu berri den prozesuari buruzko testuingurua lortzeko. Gertaera ID 4688 5156rekin erlazionatu daiteke prozesu berria sareko konexioren batekin lotuta dagoen zehazteko. Prozesu berria instalatu berri den zerbitzu batekin lotuta badago, 4697 gertaera (zerbitzuaren instalazioa) 4688rekin erlaziona daiteke informazio gehigarria emateko. Gertaera ID 5140 (fitxategien sorrera) prozesu berriak sortutako fitxategi berriak identifikatzeko ere erabil daiteke.

Ondorioz, sistemaren testuingurua ulertzea potentziala zehaztea da eragina prozesuaren. Litekeena da zerbitzari kritiko batean hasitako prozesu batek eragin handiagoa izatea makina autonomo batean abiarazitakoak baino. Testuinguruak ikerketa zuzentzen, erantzuna lehenesten eta baliabideak kudeatzen laguntzen du. Gertaeren erregistroko eremu desberdinak aztertuz eta beste gertaera batzuekin korrelazioa eginez, prozesu anomaloak jatorria eta kausa zehaztu daitezke.