Tergovda Windows Xavfsizlik hodisasi ID 4688 ni qanday izohlash mumkin

11 oy oldin

Tergovda Windows Xavfsizlik hodisasi ID 4688 ni qanday izohlash mumkin

Kirish

Ga ko'ra Microsoft, hodisa identifikatorlari (shuningdek, hodisa identifikatorlari deb ataladi) muayyan hodisani noyob tarzda aniqlaydi. Bu Windows operatsion tizimi tomonidan qayd etilgan har bir hodisaga biriktirilgan raqamli identifikator. Identifikator beradi axborot sodir bo'lgan voqea haqida va tizim operatsiyalari bilan bog'liq muammolarni aniqlash va bartaraf etish uchun ishlatilishi mumkin. Voqea, bu kontekstda, tizim yoki foydalanuvchi tomonidan tizimda bajariladigan har qanday harakatni anglatadi. Ushbu hodisalarni Voqealar ko'rish vositasi yordamida Windowsda ko'rish mumkin

4688 hodisa identifikatori har safar yangi jarayon yaratilganda qayd qilinadi. U mashina tomonidan bajarilgan har bir dasturni va uning identifikatsiya ma'lumotlarini, jumladan yaratuvchini, maqsadni va uni boshlagan jarayonni hujjatlashtiradi. Bir nechta hodisalar hodisa ID 4688 ostida qayd etiladi. Tizimga kirgandan so'ng Session Manager quyi tizimi (SMSS.exe) ishga tushiriladi va 4688-hodisa qayd qilinadi. Agar tizim zararli dastur bilan zararlangan bo'lsa, zararli dastur ishga tushirish uchun yangi jarayonlarni yaratishi mumkin. Bunday jarayonlar ID 4688 ostida hujjatlashtiriladi.

Redmine-ni AWS-da Ubuntu 20.04-da joylashtiring

Voqeani talqin qilish ID 4688

Hodisa ID 4688ni talqin qilish uchun hodisalar jurnaliga kiritilgan turli maydonlarni tushunish muhimdir. Bu maydonlar har qanday qoidabuzarliklarni aniqlash va jarayonning kelib chiqishini uning manbasiga qaytarish uchun ishlatilishi mumkin.

Yaratuvchi mavzusi: bu maydon yangi jarayonni yaratishni so'ragan foydalanuvchi hisobi haqida ma'lumot beradi. Bu maydon kontekstni taqdim etadi va sud-tibbiyot ekspertlariga anomaliyalarni aniqlashga yordam beradi. U bir nechta kichik maydonlarni o'z ichiga oladi, jumladan:

- Xavfsizlik identifikatori (SID)” bo'yicha Microsoft, SID ishonchli shaxsni aniqlash uchun ishlatiladigan noyob qiymatdir. U Windows mashinasida foydalanuvchilarni aniqlash uchun ishlatiladi.
- Hisob nomi: SID yangi jarayonni yaratishni boshlagan hisob nomini ko'rsatish uchun hal qilinadi.
- Hisob domeni: kompyuter tegishli domen.
- Tizimga kirish identifikatori: foydalanuvchining tizimga kirish seansini aniqlash uchun ishlatiladigan noyob o'n oltilik qiymat. U bir xil hodisa identifikatorini o'z ichiga olgan hodisalarni bog'lash uchun ishlatilishi mumkin.

Maqsadli mavzu: bu maydon jarayon ostidagi foydalanuvchi hisobi haqida ma'lumot beradi. Jarayonni yaratish hodisasida eslatib o'tilgan mavzu, ba'zi hollarda, jarayonni tugatish hodisasida eslatib o'tilgan mavzudan farq qilishi mumkin. Shunday qilib, agar yaratuvchi va maqsad bir xil tizimga kirishga ega bo'lmasa, ikkalasi ham bir xil jarayon identifikatoriga murojaat qilsa ham, maqsadli mavzuni kiritish muhimdir. Kichik maydonlar yuqoridagi yaratuvchi mavzusi bilan bir xil.
Jarayon haqida ma'lumot: bu maydon yaratilgan jarayon haqida batafsil ma'lumot beradi. U bir nechta kichik maydonlarni o'z ichiga oladi, jumladan:

- Yangi jarayon identifikatori (PID): yangi jarayonga tayinlangan noyob o'n oltilik qiymat. Windows operatsion tizimi undan faol jarayonlarni kuzatish uchun foydalanadi.
- Yangi jarayon nomi: yangi jarayonni yaratish uchun ishga tushirilgan bajariladigan faylning to'liq yo'li va nomi.
- Tokenni baholash turi: tokenni baholash - bu Windows tomonidan foydalanuvchi hisobiga ma'lum bir amalni bajarishga ruxsat berilganligini aniqlash uchun foydalaniladigan xavfsizlik mexanizmi. Yuqori imtiyozlarni so'rash uchun jarayon ishlatadigan token turi "tokenni baholash turi" deb ataladi. Ushbu maydon uchun uchta mumkin bo'lgan qiymat mavjud. 1-tur (%%1936) jarayon standart foydalanuvchi tokenidan foydalanayotganini va hech qanday maxsus ruxsat so‘ramaganligini bildiradi. Ushbu maydon uchun u eng keng tarqalgan qiymatdir. 2-tur (%%1937) jarayonning toʻliq administrator huquqlarini ishga tushirishni soʻraganligini va ularni olishda muvaffaqiyatli boʻlganligini bildiradi. Agar foydalanuvchi dastur yoki jarayonni administrator sifatida ishga tushirsa, u yoqiladi. 3-tur (%%1938) jarayon faqat yuqori imtiyozlarni talab qilgan bo'lsa ham, so'ralgan amalni bajarish uchun zarur bo'lgan huquqlarni olganligini bildiradi.

- Majburiy yorliq: jarayonga tayinlangan yaxlitlik belgisi.
- Yaratuvchi jarayon identifikatori: yangi jarayonni boshlagan jarayonga tayinlangan noyob o'n oltilik qiymat.
- Yaratuvchi jarayon nomi: yangi jarayonni yaratgan jarayonning toʻliq yoʻli va nomi.
- Jarayon buyruq qatori: yangi jarayonni boshlash uchun buyruqqa o'tkazilgan argumentlar haqida ma'lumot beradi. U bir nechta kichik maydonlarni o'z ichiga oladi, shu jumladan joriy katalog va xeshlar.

GoPhish fishing platformasini Ubuntu 18.04 da AWS-ga joylashtiring

Xulosa

Jarayonni tahlil qilishda uning qonuniy yoki zararli ekanligini aniqlash juda muhimdir. Qonuniy jarayonni yaratuvchining mavzusi va jarayon axborot maydonlariga qarab osongina aniqlash mumkin. Jarayon identifikatori anomaliyalarni aniqlash uchun ishlatilishi mumkin, masalan, noodatiy asosiy jarayondan yangi jarayon paydo bo'ladi. Buyruqlar qatori jarayonning qonuniyligini tekshirish uchun ham ishlatilishi mumkin. Masalan, maxfiy ma'lumotlarga fayl yo'lini o'z ichiga olgan argumentli jarayon zararli niyatni ko'rsatishi mumkin. Yaratuvchi mavzusi maydonidan foydalanuvchi hisobi shubhali faoliyat bilan bogʻlanganligini yoki yuqori imtiyozlarga ega ekanligini aniqlash uchun foydalanish mumkin.

Bundan tashqari, yangi yaratilgan jarayon haqida kontekstni olish uchun ID 4688 hodisasini tizimdagi boshqa tegishli hodisalar bilan bog'lash muhimdir. 4688 hodisa identifikatori yangi jarayonning har qanday tarmoq ulanishlari bilan bog'langanligini aniqlash uchun 5156 bilan bog'lanishi mumkin. Agar yangi jarayon yangi o'rnatilgan xizmat bilan bog'langan bo'lsa, 4697 hodisasi (xizmatni o'rnatish) qo'shimcha ma'lumot berish uchun 4688 bilan bog'lanishi mumkin. Voqealar identifikatori 5140 (fayl yaratish) yangi jarayon tomonidan yaratilgan har qanday yangi fayllarni aniqlash uchun ham ishlatilishi mumkin.

Xulosa qilib aytganda, tizimning kontekstini tushunish potentsialni aniqlashdir ta'sir jarayonning. Muhim serverda boshlangan jarayon, mustaqil mashinada ishga tushirilgandan ko'ra ko'proq ta'sir ko'rsatishi mumkin. Kontekst tergovni yo'naltirishga, javobni birinchi o'ringa qo'yishga va resurslarni boshqarishga yordam beradi. Hodisalar jurnalidagi turli sohalarni tahlil qilish va boshqa hodisalar bilan korrelyatsiyani amalga oshirish orqali anomal jarayonlarni ularning kelib chiqishi va sababini aniqlash mumkin.