ווי צו ינטערפּריט Windows Security Event ID 4688 אין אַן ויספאָרשונג

הקדמה

לויט מייקראָסאָפֿט, געשעעניש IDs (אויך גערופן געשעעניש ידענטיפיערס) יינציק ידענטיפיצירן אַ באַזונדער געשעעניש. עס איז אַ נומעריקאַל ידענטיפיער אַטאַטשט צו יעדער געשעעניש לאָגד דורך די Windows אָפּערייטינג סיסטעם. דער אידענטיפיצירט גיט ינפאָרמאַציע וועגן די געשעעניש וואָס איז פארגעקומען און קענען ווערן גענוצט צו ידענטיפיצירן און טראָובלעשאָאָט פּראָבלעמס רילייטינג צו סיסטעם אַפּעריישאַנז. אַ געשעעניש, אין דעם קאָנטעקסט, רעפערס צו קיין אַקציע געטאן דורך די סיסטעם אָדער אַ באַניצער אויף אַ סיסטעם. די געשעענישן קענען זיין וויוד אויף Windows ניצן די עווענט וויוער

דער געשעעניש שייַן 4688 איז לאָגד ווען אַ נייַע פּראָצעס איז באשאפן. עס דאָקומענטן יעדער פּראָגראַם עקסאַקיוטאַד דורך די מאַשין און זייַן ידענטיפיינג דאַטן, אַרייַנגערעכנט דער באשעפער, דער ציל און דער פּראָצעס וואָס סטאַרטעד עס. עטלעכע געשעענישן זענען לאָגד אונטער די געשעעניש שייַן 4688. אויף לאָגין, סעסיע מאַנאַגער סובסיסטעם (SMSS.exe) איז לאָנטשט, און געשעעניש 4688 איז לאָגד. אויב אַ סיסטעם איז ינפעקטאַד דורך מאַלוואַרע, די מאַלוואַרע איז מסתּמא צו שאַפֿן נייַע פּראַסעסאַז צו לויפן. אַזאַ פּראַסעסאַז וואָלט זיין דאַקיומענטאַד אונטער ID 4688.

 

צעוויקלען Redmine אויף Ubuntu 20.04 אויף AWS

ינטערפּריטינג עווענט שייַן 4688

אין סדר צו טייַטשן געשעעניש ID 4688, עס איז וויכטיק צו פֿאַרשטיין די פאַרשידענע פעלדער אַרייַנגערעכנט אין די געשעעניש קלאָץ. די פעלדער קענען ווערן גענוצט צו דעטעקט קיין ירעגיאַלעראַטיז און שפּור די אָנהייב פון אַ פּראָצעס צוריק צו זיין מקור.

• באשעפער טעמע: דעם פעלד גיט אינפֿאָרמאַציע וועגן דעם באַניצער חשבון וואָס האָט געבעטן די שאַפונג פון אַ נייַע פּראָצעס. דאָס פעלד גיט קאָנטעקסט און קענען העלפֿן פאָרענסיק ינוועסטאַגייטערז צו ידענטיפיצירן אַנאַמאַליז. עס כולל עטלעכע סובפיעלדס, אַרייַנגערעכנט:

• • Security Identifier (SID)" לויט צו מייקראָסאָפֿט, די SID איז אַ יינציק ווערט געניצט צו ידענטיפיצירן אַ טראַסטי. עס איז געניצט צו ידענטיפיצירן ניצערס אויף די Windows מאַשין.
  • אַקאַונט נאָמען: די SID איז ריזאַלווד צו ווייַזן די נאָמען פון די חשבון וואָס ינישיייטיד די שאַפונג פון די נייַע פּראָצעס.
  • אַקאַונט דאָמאַין: די פעלד צו די קאָמפּיוטער.
  • לאָגאָן שייַן: אַ יינציק כעקסאַדעסימאַל ווערט וואָס איז געניצט צו ידענטיפיצירן די באַניצער ס לאָגאָן סעסיע. עס קענען זיין געוויינט צו קאָראַלייט געשעענישן וואָס אַנטהאַלטן די זעלבע געשעעניש שייַן.

• ציל טעמע: דעם פעלד גיט אינפֿאָרמאַציע וועגן דעם באַניצער חשבון אונטער דעם פּראָצעס. די ונטערטעניק דערמאנט אין דער פּראָצעס שאַפונג געשעעניש קען, אין עטלעכע צושטאנדן, זיין אַנדערש פון די ונטערטעניק דערמאנט אין די פּראָצעס טערמאַניישאַן געשעעניש. אַזוי, ווען דער באשעפער און דער ציל טאָן ניט האָבן די זעלבע לאָגאָן, עס איז וויכטיק צו אַרייַננעמען די ציל ונטערטעניק כאָטש זיי ביידע דערמאָנען די זעלבע פּראָצעס שייַן. די סובפיעלדס זענען די זעלבע ווי די פון די באשעפער ונטערטעניק אויבן.
• פּראָצעס אינפֿאָרמאַציע: דעם פעלד גיט דיטיילד אינפֿאָרמאַציע וועגן די באשאפן פּראָצעס. עס כולל עטלעכע סובפיעלדס, אַרייַנגערעכנט:

• • New Process ID (PID): אַ יינציק כעקסאַדעסימאַל ווערט אַסיינד צו די נייַע פּראָצעס. די Windows אָפּערייטינג סיסטעם ניצט עס צו האַלטן שפּור פון אַקטיוו פּראַסעסאַז.
  • ניו פּראָצעס נאָמען: די פול דרך און נאָמען פון די עקסעקוטאַבלע טעקע וואָס איז געווען לאָנטשט צו שאַפֿן די נייַע פּראָצעס.
  • טאָקען עוואַלואַטיאָן טיפּ: סימען אפשאצונג איז אַ זיכערהייט מעקאַניזאַם געניצט דורך Windows צו באַשליסן אויב אַ באַניצער חשבון איז אָטערייזד צו דורכפירן אַ באַזונדער קאַמף. דער טיפּ פון סימען וואָס אַ פּראָצעס וועט נוצן צו בעטן הויך פּריווילאַדזשאַז איז גערופן די "סימען אפשאצונג טיפּ." עס זענען דריי מעגלעך וואַלועס פֿאַר דעם פעלד. טיפּ 1 (%% 1936) דינאָוץ אַז דער פּראָצעס איז ניצן די פעליקייַט באַניצער סימען און האט נישט געבעטן קיין ספּעציעל פּערמישאַנז. פֿאַר דעם פעלד, עס איז די מערסט פּראָסט ווערט. טיפּ 2 (%% 1937) דינאָוץ אַז דער פּראָצעס פארלאנגט פול אַדמיניסטראַטאָר פּריווילאַדזשאַז צו לויפן און איז געווען געראָטן צו באַקומען זיי. ווען אַ באַניצער לויפט אַ אַפּלאַקיישאַן אָדער פּראָצעס ווי אַדמיניסטראַטאָר, עס איז ענייבאַלד. טיפּ 3 (%% 1938) דינאָוץ אַז דער פּראָצעס בלויז באקומען די רעכט פארלאנגט צו דורכפירן די געבעטן קאַמף, כאָטש עס פארלאנגט עלעוואַטעד פּריווילאַדזשאַז.

• • מאַנדאַטאָרי לאַבעל: אַן אָרנטלעכקייַט פירמע אַסיינד צו דעם פּראָצעס. 
  • Creator Process ID: אַ יינציק כעקסאַדעסימאַל ווערט אַסיינד צו דעם פּראָצעס וואָס ינישיייטיד די נייַע פּראָצעס. 
  • באשעפער פּראַסעס נאָמען: פול דרך און נאָמען פון דעם פּראָצעס וואָס באשאפן דעם נייַע פּראָצעס.
  • פּראָצעס באַפֿעלן שורה: גיט דעטאַילס וועגן די אַרגומענטן דורכגעגאנגען אין די באַפֿעל צו אָנהייבן דעם נייַע פּראָצעס. עס כולל עטלעכע סובפיעלדס אַרייַנגערעכנט די קראַנט וועגווייַזער און האַשעס.

צעוויקלען GoPhish Phishing Platform אויף Ubuntu 18.04 אין AWS

סאָף

 

ווען אַנאַלייזינג אַ פּראָצעס, עס איז וויטאַל צו באַשליסן צי עס איז לאַדזשיטאַמאַט אָדער בייזע. א לאַדזשיטאַמאַט פּראָצעס קענען לייכט זיין יידענאַפייד דורך קוקן אין די באשעפער ונטערטעניק און פּראָצעס אינפֿאָרמאַציע פעלדער. פּראַסעס שייַן קענען ווערן גענוצט צו ידענטיפיצירן אַנאַמאַליז, אַזאַ ווי אַ נייַע פּראָצעס איז געפֿירט פֿון אַ ומגעוויינטלעך פאָטער פּראָצעס. די באַפֿעלן שורה קענען אויך זיין גענוצט צו באַשטעטיקן די לאַדזשיטאַמאַטי פון אַ פּראָצעס. פֿאַר בייַשפּיל, אַ פּראָצעס מיט אַרגומענטן וואָס כולל אַ טעקע דרך צו שפּירעוודיק דאַטן קען אָנווייַזן בייזע קאַוואָנע. די באשעפער ונטערטעניק פעלד קענען ווערן גענוצט צו באַשליסן אויב דער באַניצער חשבון איז פארבונדן מיט סאַספּישאַס טעטיקייט אָדער האט עלעוואַטעד פּריווילאַדזשאַז. 

דערצו, עס איז וויכטיק צו קאָראַלייט געשעעניש שייַן 4688 מיט אנדערע באַטייַטיק געשעענישן אין די סיסטעם צו באַקומען קאָנטעקסט וועגן די ניי באשאפן פּראָצעס. געשעעניש שייַן 4688 קענען זיין קאָראַלייטאַד מיט 5156 צו באַשליסן אויב די נייַע פּראָצעס איז פארבונדן מיט קיין נעץ קאַנעקשאַנז. אויב די נייַע פּראָצעס איז פארבונדן מיט אַ ניי אינסטאַלירן דינסט, געשעעניש 4697 (דינסט ינסטאַלירן) קענען זיין קאָראַלייטאַד מיט 4688 צו צושטעלן נאָך אינפֿאָרמאַציע. Event ID 5140 (טעקע שאַפונג) קענען אויך זיין געניצט צו ידענטיפיצירן קיין נייַע טעקעס באשאפן דורך די נייַע פּראָצעס.

אין מסקנא, פארשטאנד די קאָנטעקסט פון די סיסטעם איז צו באַשליסן די פּאָטענציעל פּראַל פון דעם פּראָצעס. א פּראָצעס ינישיייטיד אויף אַ קריטיש סערווער איז מסתּמא צו האָבן אַ גרעסערע פּראַל ווי איינער לאָנטשט אויף אַ סטאַנדאַלאָנע מאַשין. קאָנטעקסט העלפּס דירעקט די ויספאָרשונג, פּרייאָראַטייז ענטפער און פירן רעסורסן. דורך אַנאַלייזינג די פאַרשידענע פעלדער אין די געשעעניש קלאָץ און דורכפירן קאָראַליישאַן מיט אנדערע געשעענישן, אַנאַמאַלאַס פּראַסעסאַז קענען זיין טרייסט צו זייער אָנהייב און די סיבה באשלאסן.