วิธีตีความ Windows Security Event ID 4688 ในการสืบสวน
บทนำ
ตามที่ ไมโครซอฟท์รหัสเหตุการณ์ (หรือที่เรียกว่าตัวระบุเหตุการณ์) ระบุเหตุการณ์เฉพาะโดยเฉพาะ เป็นตัวระบุตัวเลขที่แนบมากับแต่ละเหตุการณ์ที่บันทึกโดยระบบปฏิบัติการ Windows ตัวระบุให้ ข้อมูล เกี่ยวกับเหตุการณ์ที่เกิดขึ้นและสามารถใช้เพื่อระบุและแก้ไขปัญหาที่เกี่ยวข้องกับการทำงานของระบบ เหตุการณ์ ในบริบทนี้ หมายถึงการกระทำใดๆ ที่ดำเนินการโดยระบบหรือผู้ใช้บนระบบ เหตุการณ์เหล่านี้สามารถดูได้บน Windows โดยใช้ตัวแสดงเหตุการณ์
รหัสเหตุการณ์ 4688 จะถูกบันทึกทุกครั้งที่มีการสร้างกระบวนการใหม่ โดยจะจัดทำเอกสารแต่ละโปรแกรมที่เรียกใช้โดยเครื่องและข้อมูลระบุตัวตน รวมถึงผู้สร้าง เป้าหมาย และกระบวนการที่เริ่มต้น หลายเหตุการณ์ถูกบันทึกภายใต้ ID เหตุการณ์ 4688 เมื่อเข้าสู่ระบบ Session Manager Subsystem (SMSS.exe) จะถูกเปิดใช้งาน และเหตุการณ์ 4688 จะถูกบันทึก หากระบบติดมัลแวร์ มัลแวร์มีแนวโน้มที่จะสร้างกระบวนการใหม่เพื่อเรียกใช้ กระบวนการดังกล่าวจะได้รับการบันทึกไว้ภายใต้ ID 4688
การตีความรหัสเหตุการณ์ 4688
ในการตีความรหัสเหตุการณ์ 4688 สิ่งสำคัญคือต้องเข้าใจฟิลด์ต่างๆ ที่รวมอยู่ในบันทึกเหตุการณ์ ฟิลด์เหล่านี้สามารถใช้เพื่อตรวจหาสิ่งผิดปกติและติดตามต้นทางของกระบวนการกลับไปยังต้นทาง
- Creator Subject: ฟิลด์นี้ให้ข้อมูลเกี่ยวกับบัญชีผู้ใช้ที่ร้องขอการสร้างกระบวนการใหม่ ฟิลด์นี้ให้บริบทและสามารถช่วยให้ผู้ตรวจสอบทางนิติวิทยาศาสตร์ระบุความผิดปกติได้ ประกอบด้วยฟิลด์ย่อยหลายฟิลด์ ได้แก่:
-
- ตัวระบุความปลอดภัย (SID)” ตาม ไมโครซอฟท์SID เป็นค่าเฉพาะที่ใช้ระบุผู้ดูแลทรัพย์สิน ใช้เพื่อระบุผู้ใช้ในเครื่อง Windows
- ชื่อบัญชี: SID ได้รับการแก้ไขให้แสดงชื่อบัญชีที่เริ่มต้นการสร้างกระบวนการใหม่
- โดเมนบัญชี: โดเมนของคอมพิวเตอร์
- ID การเข้าสู่ระบบ: ค่าเลขฐานสิบหกที่ไม่ซ้ำกันซึ่งใช้เพื่อระบุเซสชันการเข้าสู่ระบบของผู้ใช้ สามารถใช้เพื่อเชื่อมโยงเหตุการณ์ที่มี ID เหตุการณ์เดียวกัน
- เรื่องเป้าหมาย: ฟิลด์นี้ให้ข้อมูลเกี่ยวกับบัญชีผู้ใช้ที่กระบวนการทำงานภายใต้ หัวข้อที่กล่าวถึงในเหตุการณ์การสร้างกระบวนการอาจแตกต่างจากหัวข้อที่กล่าวถึงในเหตุการณ์การยุติกระบวนการในบางกรณี ดังนั้น เมื่อผู้สร้างและเป้าหมายไม่ได้เข้าสู่ระบบเดียวกัน สิ่งสำคัญคือต้องรวมหัวเรื่องเป้าหมาย แม้ว่าทั้งคู่จะอ้างอิง ID กระบวนการเดียวกันก็ตาม ช่องย่อยจะเหมือนกับช่องของหัวเรื่องผู้สร้างด้านบน
- ข้อมูลกระบวนการ: ฟิลด์นี้ให้ข้อมูลโดยละเอียดเกี่ยวกับกระบวนการที่สร้างขึ้น ประกอบด้วยฟิลด์ย่อยหลายฟิลด์ ได้แก่:
-
- รหัสกระบวนการใหม่ (PID): ค่าเลขฐานสิบหกเฉพาะที่กำหนดให้กับกระบวนการใหม่ ระบบปฏิบัติการ Windows ใช้เพื่อติดตามกระบวนการที่ใช้งานอยู่
- ชื่อกระบวนการใหม่: เส้นทางแบบเต็มและชื่อของไฟล์เรียกทำงานที่ถูกเปิดใช้เพื่อสร้างกระบวนการใหม่
- ประเภทการประเมินโทเค็น: การประเมินโทเค็นเป็นกลไกการรักษาความปลอดภัยที่ใช้โดย Windows เพื่อระบุว่าบัญชีผู้ใช้ได้รับอนุญาตให้ดำเนินการบางอย่างหรือไม่ ประเภทของโทเค็นที่กระบวนการจะใช้เพื่อขอสิทธิ์ขั้นสูงเรียกว่า "ประเภทการประเมินโทเค็น" มีสามค่าที่เป็นไปได้สำหรับฟิลด์นี้ ประเภท 1 (%%1936) แสดงว่ากระบวนการกำลังใช้โทเค็นผู้ใช้เริ่มต้นและไม่ได้ร้องขอการอนุญาตพิเศษใดๆ สำหรับฟิลด์นี้ เป็นค่าที่พบบ่อยที่สุด ประเภท 2 (%%1937) แสดงว่ากระบวนการร้องขอสิทธิ์ผู้ดูแลระบบแบบเต็มเพื่อเรียกใช้และประสบความสำเร็จในการได้รับ เมื่อผู้ใช้เรียกใช้แอปพลิเคชันหรือกระบวนการในฐานะผู้ดูแลระบบ แอปพลิเคชันนั้นจะถูกเปิดใช้งาน ประเภทที่ 3 (%%1938) ระบุว่ากระบวนการได้รับสิทธิ์ที่จำเป็นในการดำเนินการตามที่ร้องขอเท่านั้น แม้ว่าจะมีการร้องขอสิทธิ์ขั้นสูงก็ตาม
-
- ป้ายกำกับบังคับ: ป้ายกำกับความสมบูรณ์ที่กำหนดให้กับกระบวนการ
- รหัสกระบวนการของผู้สร้าง: ค่าเลขฐานสิบหกที่ไม่ซ้ำกันที่กำหนดให้กับกระบวนการที่เริ่มต้นกระบวนการใหม่
- ชื่อกระบวนการผู้สร้าง: เส้นทางแบบเต็มและชื่อของกระบวนการที่สร้างกระบวนการใหม่
- Process Command Line: ให้รายละเอียดเกี่ยวกับอาร์กิวเมนต์ที่ส่งผ่านไปยังคำสั่งเพื่อเริ่มต้นกระบวนการใหม่ ประกอบด้วยฟิลด์ย่อยหลายฟิลด์รวมถึงไดเร็กทอรีปัจจุบันและแฮช
สรุป
เมื่อวิเคราะห์กระบวนการ สิ่งสำคัญคือต้องพิจารณาว่าถูกต้องตามกฎหมายหรือเป็นอันตรายหรือไม่ กระบวนการที่ถูกต้องสามารถระบุได้อย่างง่ายดายโดยดูที่หัวเรื่องผู้สร้างและฟิลด์ข้อมูลกระบวนการ รหัสกระบวนการสามารถใช้เพื่อระบุความผิดปกติ เช่น กระบวนการใหม่ที่เกิดจากกระบวนการหลักที่ผิดปกติ บรรทัดคำสั่งสามารถใช้เพื่อตรวจสอบความถูกต้องของกระบวนการ ตัวอย่างเช่น กระบวนการที่มีอาร์กิวเมนต์ที่มีเส้นทางไฟล์ไปยังข้อมูลที่ละเอียดอ่อนอาจบ่งบอกถึงเจตนาร้าย สามารถใช้ช่อง Creator Subject เพื่อระบุว่าบัญชีผู้ใช้เชื่อมโยงกับกิจกรรมที่น่าสงสัยหรือมีสิทธิ์ขั้นสูงหรือไม่
นอกจากนี้ สิ่งสำคัญคือต้องเชื่อมโยง ID เหตุการณ์ 4688 กับเหตุการณ์ที่เกี่ยวข้องอื่นๆ ในระบบเพื่อให้ได้บริบทเกี่ยวกับกระบวนการที่สร้างขึ้นใหม่ รหัสเหตุการณ์ 4688 สามารถเชื่อมโยงกับ 5156 เพื่อตรวจสอบว่ากระบวนการใหม่เชื่อมโยงกับการเชื่อมต่อเครือข่ายใดๆ หรือไม่ หากกระบวนการใหม่เชื่อมโยงกับบริการที่ติดตั้งใหม่ เหตุการณ์ 4697 (การติดตั้งบริการ) สามารถเชื่อมโยงกับ 4688 เพื่อให้ข้อมูลเพิ่มเติม รหัสเหตุการณ์ 5140 (การสร้างไฟล์) ยังสามารถใช้เพื่อระบุไฟล์ใหม่ใดๆ ที่สร้างขึ้นโดยกระบวนการใหม่
สรุปได้ว่าการเข้าใจบริบทของระบบคือการกำหนดศักยภาพ ส่งผลกระทบ ของกระบวนการ กระบวนการที่เริ่มต้นบนเซิร์ฟเวอร์ที่สำคัญมีแนวโน้มที่จะมีผลกระทบมากกว่ากระบวนการที่เริ่มต้นในเครื่องแบบสแตนด์อโลน บริบทช่วยควบคุมการสอบสวน จัดลำดับความสำคัญของการตอบสนอง และจัดการทรัพยากร ด้วยการวิเคราะห์ฟิลด์ต่าง ๆ ในบันทึกเหตุการณ์และทำการเชื่อมโยงกับเหตุการณ์อื่น ๆ กระบวนการที่ผิดปกติสามารถติดตามไปยังต้นทางและสาเหตุที่กำหนดได้