Comment interpréter l'ID d'événement de sécurité Windows 4688 dans une enquête

Introduction

Selon Microsoft, les ID d'événement (également appelés identificateurs d'événement) identifient de manière unique un événement particulier. Il s'agit d'un identifiant numérique associé à chaque événement consigné par le système d'exploitation Windows. L'identifiant fournit d'information sur l'événement qui s'est produit et peut être utilisé pour identifier et résoudre les problèmes liés au fonctionnement du système. Un événement, dans ce contexte, fait référence à toute action effectuée par le système ou un utilisateur sur un système. Ces événements peuvent être visualisés sur Windows à l'aide de l'Observateur d'événements

L'ID d'événement 4688 est enregistré chaque fois qu'un nouveau processus est créé. Il documente chaque programme exécuté par la machine et ses données d'identification, y compris le créateur, la cible et le processus qui l'a démarré. Plusieurs événements sont enregistrés sous l'ID d'événement 4688. Lors de la connexion, le sous-système Session Manager (SMSS.exe) est lancé et l'événement 4688 est enregistré. Si un système est infecté par un logiciel malveillant, celui-ci est susceptible de créer de nouveaux processus à exécuter. De tels processus seraient documentés sous l’ID 4688.

 

Déployer Redmine sur Ubuntu 20.04 sur AWS

Interprétation de l'ID d'événement 4688

Afin d'interpréter l'ID d'événement 4688, il est important de comprendre les différents champs inclus dans le journal des événements. Ces champs peuvent être utilisés pour détecter toute irrégularité et retracer l'origine d'un processus jusqu'à sa source.

• Creator Subject : ce champ fournit des informations sur le compte utilisateur qui a demandé la création d'un nouveau processus. Ce champ fournit un contexte et peut aider les enquêteurs médico-légaux à identifier les anomalies. Il comprend plusieurs sous-domaines, notamment :

• • Identifiant de sécurité (SID) » Selon Microsoft, le SID est une valeur unique utilisée pour identifier un ayant droit. Il est utilisé pour identifier les utilisateurs sur la machine Windows.
  • Nom du compte : le SID est résolu pour afficher le nom du compte qui a lancé la création du nouveau processus.
  • Domaine du compte : le domaine auquel appartient l'ordinateur.
  • ID de connexion : valeur hexadécimale unique utilisée pour identifier la session de connexion de l'utilisateur. Il peut être utilisé pour corréler des événements qui contiennent le même ID d'événement.

• Objet cible : ce champ fournit des informations sur le compte d'utilisateur sous lequel le processus s'exécute. Le sujet mentionné dans l'événement de création de processus peut, dans certaines circonstances, être distinct du sujet mentionné dans l'événement de fin de processus. Ainsi, lorsque le créateur et la cible n'ont pas la même connexion, il est important d'inclure le sujet cible même s'ils font tous deux référence au même ID de processus. Les sous-champs sont les mêmes que ceux du sujet créateur ci-dessus.
• Informations sur le processus : ce champ fournit des informations détaillées sur le processus créé. Il comprend plusieurs sous-domaines, notamment :

• • New Process ID (PID) : une valeur hexadécimale unique attribuée au nouveau processus. Le système d'exploitation Windows l'utilise pour suivre les processus actifs.
  • Nom du nouveau processus : le chemin complet et le nom du fichier exécutable qui a été lancé pour créer le nouveau processus.
  • Type d'évaluation du jeton : l'évaluation du jeton est un mécanisme de sécurité utilisé par Windows pour déterminer si un compte utilisateur est autorisé à effectuer une action particulière. Le type de jeton qu'un processus utilisera pour demander des privilèges élevés est appelé « type d'évaluation du jeton ». Il existe trois valeurs possibles pour ce champ. Le type 1 (%%1936) indique que le processus utilise le jeton utilisateur par défaut et n'a demandé aucune autorisation spéciale. Pour ce champ, il s'agit de la valeur la plus courante. Le type 2 (%%1937) indique que le processus a demandé tous les privilèges d'administrateur pour s'exécuter et a réussi à les obtenir. Lorsqu'un utilisateur exécute une application ou un processus en tant qu'administrateur, il est activé. Le type 3 (%%1938) indique que le processus n'a reçu que les droits requis pour effectuer l'action demandée, même s'il a demandé des privilèges élevés.

• • Étiquette obligatoire : une étiquette d'intégrité attribuée au processus. 
  • Creator Process ID : une valeur hexadécimale unique attribuée au processus qui a lancé le nouveau processus. 
  • Creator Process Name : chemin complet et nom du processus qui a créé le nouveau processus.
  • Ligne de commande de processus : fournit des détails sur les arguments transmis à la commande pour lancer le nouveau processus. Il comprend plusieurs sous-champs dont le répertoire courant et les hachages.

Déployer la plateforme de phishing GoPhish sur Ubuntu 18.04 dans AWS

Conclusion

 

Lors de l'analyse d'un processus, il est essentiel de déterminer s'il est légitime ou malveillant. Un processus légitime peut facilement être identifié en examinant les champs d'informations sur le sujet et le processus du créateur. L'ID de processus peut être utilisé pour identifier des anomalies, telles qu'un nouveau processus généré à partir d'un processus parent inhabituel. La ligne de commande peut également être utilisée pour vérifier la légitimité d'un processus. Par exemple, un processus avec des arguments qui inclut un chemin de fichier vers des données sensibles peut indiquer une intention malveillante. Le champ Objet du créateur peut être utilisé pour déterminer si le compte d'utilisateur est associé à une activité suspecte ou dispose de privilèges élevés. 

De plus, il est important de corréler l'ID d'événement 4688 avec d'autres événements pertinents dans le système pour obtenir un contexte sur le processus nouvellement créé. L'ID d'événement 4688 peut être corrélé avec 5156 pour déterminer si le nouveau processus est associé à des connexions réseau. Si le nouveau processus est associé à un service nouvellement installé, l'événement 4697 (installation de service) peut être corrélé avec 4688 pour fournir des informations supplémentaires. L'ID d'événement 5140 (création de fichier) peut également être utilisé pour identifier tout nouveau fichier créé par le nouveau processus.

En conclusion, comprendre le contexte du système, c'est déterminer le potentiel impact du processus. Un processus lancé sur un serveur critique est susceptible d'avoir un impact plus important qu'un processus lancé sur une machine autonome. Le contexte aide à orienter l'enquête, à hiérarchiser les réponses et à gérer les ressources. En analysant les différents champs du journal des événements et en effectuant une corrélation avec d'autres événements, les processus anormaux peuvent être retracés jusqu'à leur origine et la cause déterminée.