كيفية تفسير معرف حدث أمان Windows 4688 في تحقيق

المُقدّمة

وفقًا مایکروسافت، معرفات الأحداث (تسمى أيضًا معرفات الأحداث) تحدد حدثًا معينًا بشكل فريد. إنه معرف رقمي متصل بكل حدث يتم تسجيله بواسطة نظام التشغيل Windows. يوفر المعرف معلومات حول الحدث الذي وقع ويمكن استخدامه لتحديد المشكلات المتعلقة بعمليات النظام واستكشاف الأخطاء وإصلاحها. يشير الحدث ، في هذا السياق ، إلى أي إجراء يقوم به النظام أو المستخدم على النظام. يمكن عرض هذه الأحداث على Windows باستخدام عارض الأحداث

يتم تسجيل معرف الحدث 4688 كلما تم إنشاء عملية جديدة. يقوم بتوثيق كل برنامج يتم تنفيذه بواسطة الجهاز وبيانات التعريف الخاصة به ، بما في ذلك المنشئ والهدف والعملية التي بدأت به. يتم تسجيل العديد من الأحداث ضمن معرف الحدث 4688. عند تسجيل الدخول ، يتم تشغيل النظام الفرعي لمدير الجلسة (SMSS.exe) ، ويتم تسجيل الحدث 4688. إذا كان النظام مصابًا ببرامج ضارة ، فمن المحتمل أن تنشئ البرامج الضارة عمليات جديدة للتشغيل. يتم توثيق هذه العمليات بموجب معرف 4688.

 

انشر Redmine على Ubuntu 20.04 على AWS

تفسير معرف الحدث 4688

لتفسير معرف الحدث 4688 ، من المهم فهم الحقول المختلفة المضمنة في سجل الأحداث. يمكن استخدام هذه الحقول لاكتشاف أي مخالفات وتتبع أصل العملية إلى مصدرها.

• موضوع المنشئ: يوفر هذا الحقل معلومات حول حساب المستخدم الذي طلب إنشاء عملية جديدة. يوفر هذا المجال السياق ويمكن أن يساعد المحققين الشرعيين في تحديد الحالات الشاذة. يشمل عدة حقول فرعية ، بما في ذلك:

• • معرف الأمان (SID) "وفقًا لـ مایکروسافت، معرف الأمان (SID) هو قيمة فريدة تُستخدم لتعريف وصي. يتم استخدامه لتحديد المستخدمين على جهاز Windows.
  • اسم الحساب: تم ​​تصميم SID لإظهار اسم الحساب الذي بدأ إنشاء العملية الجديدة.
  • مجال الحساب: المجال الذي ينتمي إليه الكمبيوتر.
  • معرف تسجيل الدخول: قيمة سداسية عشرية فريدة تُستخدم لتعريف جلسة تسجيل دخول المستخدم. يمكن استخدامه لربط الأحداث التي تحتوي على نفس معرف الحدث.

• الموضوع الهدف: يوفر هذا الحقل معلومات حول حساب المستخدم الذي تعمل العملية ضمنه. قد يكون الموضوع المذكور في حدث إنشاء العملية ، في بعض الظروف ، متميزًا عن الموضوع المذكور في حدث إنهاء العملية. لذلك ، عندما لا يكون للمنشئ والهدف نفس تسجيل الدخول ، فمن المهم تضمين الموضوع الهدف على الرغم من أنهما يشيران إلى نفس معرف العملية. الحقول الفرعية هي نفسها الخاصة بموضوع المنشئ أعلاه.
• معلومات العملية: يوفر هذا الحقل معلومات مفصلة حول العملية التي تم إنشاؤها. يشمل عدة حقول فرعية ، بما في ذلك:

• • معرف العملية الجديد (PID): قيمة سداسية عشرية فريدة يتم تعيينها للعملية الجديدة. يستخدمه نظام التشغيل Windows لتتبع العمليات النشطة.
  • اسم العملية الجديد: المسار الكامل واسم الملف القابل للتنفيذ الذي تم إطلاقه لإنشاء العملية الجديدة.
  • نوع تقييم الرمز المميز: تقييم الرمز المميز هو آلية أمان يستخدمها Windows لتحديد ما إذا كان حساب المستخدم مصرحًا له بتنفيذ إجراء معين. يُطلق على نوع الرمز المميز الذي ستستخدمه العملية لطلب امتيازات مرتفعة اسم "نوع التقييم المميز". هناك ثلاث قيم محتملة لهذا المجال. يشير النوع 1 (٪٪ 1936) إلى أن العملية تستخدم رمز المستخدم الافتراضي ولم تطلب أي أذونات خاصة. بالنسبة لهذا الحقل ، فهي القيمة الأكثر شيوعًا. يشير النوع 2 (٪٪ 1937) إلى أن العملية طلبت امتيازات المسؤول الكاملة للتشغيل ونجحت في الحصول عليها. عندما يقوم المستخدم بتشغيل تطبيق أو عملية كمسؤول ، يتم تمكينه. يشير النوع 3 (٪٪ 1938) إلى أن العملية لم تتلق سوى الحقوق المطلوبة لتنفيذ الإجراء المطلوب ، على الرغم من أنها طلبت امتيازات مرتفعة.

• • ملصق إلزامي: ملصق تكامل مخصص للعملية. 
  • معرف عملية المنشئ: قيمة سداسية عشرية فريدة مخصصة للعملية التي بدأت العملية الجديدة. 
  • اسم عملية المنشئ: المسار الكامل واسم العملية التي أنشأت العملية الجديدة.
  • سطر أوامر العملية: يوفر تفاصيل حول الوسيطات التي تم تمريرها إلى الأمر لبدء العملية الجديدة. يتضمن العديد من الحقول الفرعية بما في ذلك الدليل الحالي والتجزئة.

انشر GoPhish Phishing Platform على Ubuntu 18.04 في AWS

وفي الختام

 

عند تحليل عملية ما ، من الضروري تحديد ما إذا كانت شرعية أم ضارة. يمكن بسهولة تحديد عملية مشروعة من خلال النظر في موضوع المنشئ وحقول معلومات المعالجة. يمكن استخدام معرف العملية لتحديد الحالات الشاذة ، مثل عملية جديدة يتم إنتاجها من عملية أصل غير عادية. يمكن أيضًا استخدام سطر الأوامر للتحقق من شرعية العملية. على سبيل المثال ، قد تشير عملية تحتوي على وسيطات تتضمن مسار ملف إلى بيانات حساسة إلى نية ضارة. يمكن استخدام حقل موضوع المنشئ لتحديد ما إذا كان حساب المستخدم مرتبطًا بنشاط مشبوه أو لديه امتيازات مرتفعة. 

علاوة على ذلك ، من المهم ربط معرف الحدث 4688 بالأحداث الأخرى ذات الصلة في النظام للحصول على سياق حول العملية المنشأة حديثًا. يمكن ربط معرف الحدث 4688 بـ 5156 لتحديد ما إذا كانت العملية الجديدة مرتبطة بأي اتصالات شبكة. إذا كانت العملية الجديدة مرتبطة بخدمة مثبتة حديثًا ، فيمكن ربط الحدث 4697 (تثبيت الخدمة) بـ 4688 لتوفير معلومات إضافية. يمكن أيضًا استخدام معرف الحدث 5140 (إنشاء ملف) لتحديد أي ملفات جديدة تم إنشاؤها بواسطة العملية الجديدة.

في الختام ، فإن فهم سياق النظام هو تحديد الإمكانات تأثير من العملية. من المحتمل أن يكون للعملية التي بدأت على خادم مهم تأثير أكبر من تلك التي تم إطلاقها على جهاز مستقل. يساعد السياق في توجيه التحقيق ، وتحديد أولويات الاستجابة وإدارة الموارد. من خلال تحليل الحقول المختلفة في سجل الأحداث وإجراء الارتباط مع الأحداث الأخرى ، يمكن تتبع العمليات الشاذة إلى أصلها وتحديد السبب.