Come interpretare l'ID evento di sicurezza di Windows 4688 in un'indagine
Introduzione
Secondo Microsoft, gli ID evento (chiamati anche identificatori di evento) identificano in modo univoco un particolare evento. È un identificatore numerico associato a ciascun evento registrato dal sistema operativo Windows. L'identificatore fornisce informazioni sull'evento che si è verificato e può essere utilizzato per identificare e risolvere i problemi relativi alle operazioni del sistema. Un evento, in questo contesto, si riferisce a qualsiasi azione eseguita dal sistema o da un utente su un sistema. Questi eventi possono essere visualizzati su Windows utilizzando il Visualizzatore eventi
L'ID evento 4688 viene registrato ogni volta che viene creato un nuovo processo. Documenta ogni programma eseguito dalla macchina e i suoi dati identificativi, compreso l'autore, il destinatario e il processo che lo ha avviato. Diversi eventi vengono registrati con l'ID evento 4688. All'accesso, viene avviato il sottosistema Session Manager (SMSS.exe) e viene registrato l'evento 4688. Se un sistema è infetto da malware, è probabile che il malware crei nuovi processi da eseguire. Tali processi sarebbero documentati con l'ID 4688.
Interpretazione dell'ID evento 4688
Per interpretare l'ID evento 4688, è importante comprendere i diversi campi inclusi nel registro eventi. Questi campi possono essere utilizzati per rilevare eventuali irregolarità e tracciare l'origine di un processo fino alla sua origine.
- Creator Subject: questo campo fornisce informazioni sull'account utente che ha richiesto la creazione di un nuovo processo. Questo campo fornisce un contesto e può aiutare gli investigatori forensi a identificare le anomalie. Include diversi sottocampi, tra cui:
-
- Identificatore di sicurezza (SID)” Secondo Microsoft, il SID è un valore univoco utilizzato per identificare un trustee. Viene utilizzato per identificare gli utenti sulla macchina Windows.
- Nome account: il SID viene risolto per mostrare il nome dell'account che ha avviato la creazione del nuovo processo.
- Dominio account: il dominio a cui appartiene il computer.
- ID di accesso: un valore esadecimale univoco utilizzato per identificare la sessione di accesso dell'utente. Può essere utilizzato per correlare gli eventi che contengono lo stesso ID evento.
- Oggetto di destinazione: questo campo fornisce informazioni sull'account utente con cui è in esecuzione il processo. Il soggetto menzionato nell'evento di creazione del processo può, in alcune circostanze, essere distinto dal soggetto menzionato nell'evento di conclusione del processo. Pertanto, quando il creatore e la destinazione non hanno lo stesso accesso, è importante includere l'oggetto di destinazione anche se entrambi fanno riferimento allo stesso ID processo. I sottocampi sono gli stessi del soggetto creatore sopra.
- Informazioni sul processo: questo campo fornisce informazioni dettagliate sul processo creato. Include diversi sottocampi, tra cui:
-
- New Process ID (PID): un valore esadecimale univoco assegnato al nuovo processo. Il sistema operativo Windows lo utilizza per tenere traccia dei processi attivi.
- Nuovo nome processo: il percorso completo e il nome del file eseguibile che è stato avviato per creare il nuovo processo.
- Tipo di valutazione token: la valutazione token è un meccanismo di sicurezza utilizzato da Windows per determinare se un account utente è autorizzato a eseguire una particolare azione. Il tipo di token che un processo utilizzerà per richiedere privilegi elevati è chiamato "tipo di valutazione token". Sono disponibili tre valori possibili per questo campo. Il tipo 1 (%%1936) indica che il processo utilizza il token utente predefinito e non ha richiesto autorizzazioni speciali. Per questo campo è il valore più comune. Il tipo 2 (%%1937) indica che il processo ha richiesto privilegi di amministratore completi per essere eseguito ed è riuscito a ottenerli. Quando un utente esegue un'applicazione o un processo come amministratore, viene abilitato. Il tipo 3 (%%1938) indica che il processo ha ricevuto solo i diritti necessari per eseguire l'azione richiesta, anche se ha richiesto privilegi elevati.
-
- Etichetta obbligatoria: un'etichetta di integrità assegnata al processo.
- Creator Process ID: un valore esadecimale univoco assegnato al processo che ha avviato il nuovo processo.
- Creator Process Name: percorso completo e nome del processo che ha creato il nuovo processo.
- Riga di comando del processo: fornisce dettagli sugli argomenti passati al comando per avviare il nuovo processo. Include diversi sottocampi tra cui la directory corrente e gli hash.
Conclusione
Quando si analizza un processo, è fondamentale determinare se è legittimo o dannoso. Un processo legittimo può essere facilmente identificato osservando l'oggetto del creatore e i campi delle informazioni sul processo. L'ID processo può essere utilizzato per identificare anomalie, ad esempio un nuovo processo generato da un processo padre insolito. La riga di comando può anche essere utilizzata per verificare la legittimità di un processo. Ad esempio, un processo con argomenti che include un percorso di file a dati sensibili può indicare un intento dannoso. Il campo Creator Subject può essere utilizzato per determinare se l'account utente è associato ad attività sospette o dispone di privilegi elevati.
Inoltre, è importante correlare l'ID evento 4688 con altri eventi rilevanti nel sistema per ottenere un contesto sul processo appena creato. L'ID evento 4688 può essere correlato con 5156 per determinare se il nuovo processo è associato a connessioni di rete. Se il nuovo processo è associato a un servizio appena installato, l'evento 4697 (installazione del servizio) può essere correlato con 4688 per fornire informazioni aggiuntive. L'ID evento 5140 (creazione file) può essere utilizzato anche per identificare eventuali nuovi file creati dal nuovo processo.
In conclusione, comprendere il contesto del sistema è determinarne il potenziale influenza del processo. È probabile che un processo avviato su un server critico abbia un impatto maggiore rispetto a uno avviato su una macchina autonoma. Il contesto aiuta a dirigere l'indagine, dare priorità alla risposta e gestire le risorse. Analizzando i diversi campi nel registro eventi ed eseguendo la correlazione con altri eventi, è possibile risalire alla loro origine e determinare la causa dei processi anomali.
