Bir Araştırmada Windows Güvenlik Olay Kimliği 4688 Nasıl Yorumlanır?

Giriş

Göre Microsoft, olay kimlikleri (olay tanımlayıcıları olarak da adlandırılır) belirli bir olayı benzersiz şekilde tanımlar. Windows işletim sistemi tarafından günlüğe kaydedilen her olaya eklenen sayısal bir tanımlayıcıdır. tanımlayıcı sağlar bilgi meydana gelen olay hakkında ve sistem işlemleriyle ilgili sorunları belirlemek ve gidermek için kullanılabilir. Bu bağlamda bir olay, sistem veya bir kullanıcı tarafından bir sistem üzerinde gerçekleştirilen herhangi bir eylemi ifade eder. Bu olaylar, Olay Görüntüleyici kullanılarak Windows'ta görüntülenebilir

Yeni bir işlem oluşturulduğunda olay kimliği 4688 günlüğe kaydedilir. Makine tarafından yürütülen her programı ve yaratıcısı, hedefi ve onu başlatan süreç dahil tanımlayıcı verilerini belgeler. 4688 olay kimliği altında birkaç olay günlüğe kaydedilir. Oturum açıldıktan sonra Oturum Yöneticisi Alt Sistemi (SMSS.exe) başlatılır ve 4688 olayı günlüğe kaydedilir. Bir sisteme kötü amaçlı yazılım bulaşmışsa, kötü amaçlı yazılımın çalıştırılacak yeni süreçler oluşturması muhtemeldir. Bu tür işlemler ID 4688 altında belgelenecektir.

 

AWS'de Ubuntu 20.04'te Redmine dağıtın

Olay Kimliği 4688'i Yorumlama

Olay kimliği 4688'i yorumlamak için olay günlüğüne dahil edilen farklı alanları anlamak önemlidir. Bu alanlar, herhangi bir düzensizliği tespit etmek ve bir sürecin kaynağını kaynağına kadar takip etmek için kullanılabilir.

• Oluşturan Konu: Bu alan, yeni bir işlem oluşturulmasını talep eden kullanıcı hesabı hakkında bilgi verir. Bu alan bağlam sağlar ve adli müfettişlerin anormallikleri belirlemesine yardımcı olabilir. Aşağıdakiler de dahil olmak üzere birkaç alt alan içerir:

• • Güvenlik Tanımlayıcısı (SID)” Göre Microsoft, SID, bir mütevelliyi tanımlamak için kullanılan benzersiz bir değerdir. Windows makinesindeki kullanıcıları tanımlamak için kullanılır.
  • Hesap Adı: SID, yeni sürecin oluşturulmasını başlatan hesabın adını gösterecek şekilde çözümlenir.
  • Hesap Etki Alanı: Bilgisayarın ait olduğu etki alanı.
  • Oturum Açma Kimliği: kullanıcının oturum açma oturumunu tanımlamak için kullanılan benzersiz bir onaltılık değer. Aynı olay kimliğini içeren olayları ilişkilendirmek için kullanılabilir.

• Hedef Konu: Bu alan, işlemin yürütüldüğü kullanıcı hesabı hakkında bilgi verir. Süreç oluşturma olayında bahsedilen konu, bazı durumlarda süreç sonlandırma olayında bahsedilen konudan farklı olabilir. Bu nedenle, oluşturucu ve hedef aynı oturuma sahip olmadığında, her ikisi de aynı işlem kimliğine başvursa da hedef konuyu dahil etmek önemlidir. Alt alanlar, yukarıdaki yaratıcı özneninkiyle aynıdır.
• İşlem Bilgisi: Bu alan, oluşturulan işlem hakkında ayrıntılı bilgi sağlar. Aşağıdakiler de dahil olmak üzere birkaç alt alan içerir:

• • Yeni İşlem Kimliği (PID): yeni işleme atanan benzersiz bir onaltılık değer. Windows işletim sistemi, aktif işlemleri takip etmek için kullanır.
  • Yeni İşlem Adı: Yeni işlemi oluşturmak için başlatılan yürütülebilir dosyanın tam yolu ve adı.
  • Belirteç Değerlendirme Türü: belirteç değerlendirmesi, bir kullanıcı hesabının belirli bir eylemi gerçekleştirme yetkisi olup olmadığını belirlemek için Windows tarafından kullanılan bir güvenlik mekanizmasıdır. Bir işlemin yükseltilmiş ayrıcalıklar talep etmek için kullanacağı belirteç türüne "belirteç değerlendirme türü" denir. Bu alan için üç olası değer vardır. Tür 1 (%%1936), işlemin varsayılan kullanıcı belirtecini kullandığını ve herhangi bir özel izin talep etmediğini belirtir. Bu alan için en yaygın değerdir. Tür 2 (%%1937), işlemin çalıştırmak için tam yönetici ayrıcalıkları istediğini ve bunları almayı başardığını gösterir. Bir kullanıcı bir uygulamayı veya işlemi yönetici olarak çalıştırdığında etkinleştirilir. Tip 3 (%%1938), işlemin, yükseltilmiş ayrıcalıklar talep etmesine rağmen yalnızca istenen eylemi gerçekleştirmek için gereken hakları aldığını belirtir.

• • Zorunlu Etiket: sürece atanan bir bütünlük etiketi. 
  • Oluşturan İşlem Kimliği: yeni işlemi başlatan işleme atanan benzersiz bir onaltılık değer. 
  • Oluşturan İşlem Adı: yeni işlemi oluşturan işlemin tam yolu ve adı.
  • İşlem Komut Satırı: yeni işlemi başlatmak için komuta iletilen bağımsız değişkenler hakkında ayrıntılar sağlar. Geçerli dizin ve karmalar dahil olmak üzere birkaç alt alan içerir.

GoPhish Kimlik Avı Platformunu Ubuntu 18.04'te AWS'ye dağıtın

Sonuç

 

Bir süreci analiz ederken, meşru veya kötü amaçlı olup olmadığını belirlemek çok önemlidir. Meşru bir süreç, yaratıcı konu ve süreç bilgi alanlarına bakılarak kolayca tanımlanabilir. İşlem Kimliği, alışılmadık bir üst süreçten yeni bir sürecin ortaya çıkması gibi anormallikleri belirlemek için kullanılabilir. Komut satırı, bir işlemin geçerliliğini doğrulamak için de kullanılabilir. Örneğin, hassas verilere giden bir dosya yolu içeren bağımsız değişkenlere sahip bir işlem, kötü niyeti gösterebilir. Oluşturan Konu alanı, kullanıcı hesabının şüpheli etkinlikle ilişkili olup olmadığını veya yükseltilmiş ayrıcalıklara sahip olup olmadığını belirlemek için kullanılabilir. 

Ayrıca, yeni oluşturulan süreç hakkında bağlam kazanmak için olay kimliği 4688'i sistemdeki diğer ilgili olaylarla ilişkilendirmek önemlidir. Yeni işlemin herhangi bir ağ bağlantısıyla ilişkilendirilip ilişkilendirilmediğini belirlemek için Olay Kimliği 4688, 5156 ile ilişkilendirilebilir. Yeni işlem yeni kurulan bir hizmetle ilişkilendirilirse, ek bilgi sağlamak için olay 4697 (hizmet yüklemesi) 4688 ile ilişkilendirilebilir. Olay Kimliği 5140 (dosya oluşturma), yeni işlem tarafından oluşturulan yeni dosyaları tanımlamak için de kullanılabilir.

Sonuç olarak, sistemin bağlamını anlamak, potansiyel darbe sürecin. Kritik bir sunucuda başlatılan bir işlemin, bağımsız bir makinede başlatılandan daha büyük bir etkiye sahip olması muhtemeldir. Bağlam, soruşturmayı yönlendirmeye, müdahaleyi önceliklendirmeye ve kaynakları yönetmeye yardımcı olur. Olay günlüğündeki farklı alanları analiz ederek ve diğer olaylarla korelasyon gerçekleştirerek, anormal süreçlerin kaynağına kadar izlenebilir ve nedeni belirlenebilir.