Cómo interpretar el ID de evento de seguridad de Windows 4688 en una investigación
Introducción
Según la Microsoft, los ID de eventos (también llamados identificadores de eventos) identifican de forma única un evento en particular. Es un identificador numérico adjunto a cada evento registrado por el sistema operativo Windows. El identificador proporciona información sobre el evento que ocurrió y se puede utilizar para identificar y solucionar problemas relacionados con las operaciones del sistema. Un evento, en este contexto, se refiere a cualquier acción realizada por el sistema o un usuario en un sistema. Estos eventos se pueden ver en Windows usando el Visor de eventos
El evento ID 4688 se registra cada vez que se crea un nuevo proceso. Documenta cada programa ejecutado por la máquina y sus datos de identificación, incluido el creador, el destino y el proceso que lo inició. Varios eventos se registran con el ID de evento 4688. Al iniciar sesión, Se inicia Session Manager Subsystem (SMSS.exe) y se registra el evento 4688. Si un sistema está infectado por malware, es probable que el malware cree nuevos procesos para ejecutar. Dichos procesos se documentarían con el ID 4688.
Interpretación ID de evento 4688
Para interpretar el evento ID 4688, es importante comprender los diferentes campos incluidos en el registro de eventos. Estos campos se pueden utilizar para detectar cualquier irregularidad y rastrear el origen de un proceso hasta su origen.
- Asunto creador: este campo proporciona información sobre la cuenta de usuario que solicitó la creación de un nuevo proceso. Este campo proporciona contexto y puede ayudar a los investigadores forenses a identificar anomalías. Incluye varios subcampos, que incluyen:
- Identificador de seguridad (SID)” Según Microsoft, el SID es un valor único que se utiliza para identificar a un administrador. Se utiliza para identificar a los usuarios en la máquina Windows.
- Nombre de cuenta: el SID se resuelve para mostrar el nombre de la cuenta que inició la creación del nuevo proceso.
- Dominio de la cuenta: el dominio al que pertenece el equipo.
- ID de inicio de sesión: un valor hexadecimal único que se utiliza para identificar la sesión de inicio de sesión del usuario. Se puede usar para correlacionar eventos que contienen el mismo ID de evento.
- Asunto de destino: este campo proporciona información sobre la cuenta de usuario con la que se ejecuta el proceso. El sujeto mencionado en el evento de creación del proceso puede, en algunas circunstancias, ser distinto del sujeto mencionado en el evento de terminación del proceso. Por lo tanto, cuando el creador y el destino no tienen el mismo inicio de sesión, es importante incluir el sujeto de destino aunque ambos hagan referencia al mismo ID de proceso. Los subcampos son los mismos que los del sujeto creador anterior.
- Información del proceso: este campo proporciona información detallada sobre el proceso creado. Incluye varios subcampos, que incluyen:
- Nuevo ID de proceso (PID): un valor hexadecimal único asignado al nuevo proceso. El sistema operativo Windows lo utiliza para realizar un seguimiento de los procesos activos.
- Nombre del nuevo proceso: la ruta completa y el nombre del archivo ejecutable que se inició para crear el nuevo proceso.
- Tipo de evaluación de token: la evaluación de token es un mecanismo de seguridad empleado por Windows para determinar si una cuenta de usuario está autorizada para realizar una acción en particular. El tipo de token que utilizará un proceso para solicitar privilegios elevados se denomina "tipo de evaluación de token". Hay tres valores posibles para este campo. El tipo 1 (%%1936) indica que el proceso está utilizando el token de usuario predeterminado y no ha solicitado ningún permiso especial. Para este campo, es el valor más común. El tipo 2 (%%1937) indica que el proceso solicitó privilegios de administrador completos para ejecutarse y los obtuvo correctamente. Cuando un usuario ejecuta una aplicación o proceso como administrador, se habilita. El tipo 3 (%%1938) indica que el proceso solo recibió los derechos necesarios para llevar a cabo la acción solicitada, aunque solicitó privilegios elevados.
- Etiqueta obligatoria: una etiqueta de integridad asignada al proceso.
- ID del proceso del creador: un valor hexadecimal único asignado al proceso que inició el nuevo proceso.
- Nombre del proceso creador: ruta completa y nombre del proceso que creó el nuevo proceso.
- Línea de comando de proceso: proporciona detalles sobre los argumentos pasados al comando para iniciar el nuevo proceso. Incluye varios subcampos, incluido el directorio actual y hashes.
Conclusión
Al analizar un proceso, es vital determinar si es legítimo o malicioso. Un proceso legítimo se puede identificar fácilmente observando el asunto del creador y los campos de información del proceso. El ID de proceso se puede utilizar para identificar anomalías, como un nuevo proceso que se genera a partir de un proceso principal inusual. La línea de comando también se puede utilizar para verificar la legitimidad de un proceso. Por ejemplo, un proceso con argumentos que incluye una ruta de archivo a datos confidenciales puede indicar una intención maliciosa. El campo Asunto del creador se puede usar para determinar si la cuenta de usuario está asociada con actividad sospechosa o tiene privilegios elevados.
Además, es importante correlacionar el ID de evento 4688 con otros eventos relevantes en el sistema para obtener contexto sobre el proceso recién creado. El ID de evento 4688 se puede correlacionar con 5156 para determinar si el nuevo proceso está asociado con alguna conexión de red. Si el nuevo proceso está asociado con un servicio recién instalado, el evento 4697 (instalación del servicio) se puede correlacionar con 4688 para proporcionar información adicional. El ID de evento 5140 (creación de archivos) también se puede usar para identificar cualquier archivo nuevo creado por el nuevo proceso.
En conclusión, entender el contexto del sistema es determinar el potencial el impacto del proceso Es probable que un proceso iniciado en un servidor crítico tenga un mayor impacto que uno iniciado en una máquina independiente. El contexto ayuda a dirigir la investigación, priorizar la respuesta y administrar los recursos. Al analizar los diferentes campos en el registro de eventos y realizar la correlación con otros eventos, los procesos anómalos pueden rastrearse hasta su origen y determinarse la causa.
