Cara Menafsirkan Windows Security Event ID 4688 dalam Investigasi
Pengantar
Menurut Microsoft, ID peristiwa (disebut juga pengidentifikasi peristiwa) secara unik mengidentifikasi peristiwa tertentu. Ini adalah pengidentifikasi numerik yang dilampirkan ke setiap peristiwa yang dicatat oleh sistem operasi Windows. Pengidentifikasi menyediakan informasi tentang peristiwa yang terjadi dan dapat digunakan untuk mengidentifikasi dan memecahkan masalah yang berkaitan dengan operasi sistem. Suatu peristiwa, dalam konteks ini, mengacu pada tindakan apa pun yang dilakukan oleh sistem atau pengguna pada suatu sistem. Peristiwa ini dapat dilihat di Windows menggunakan Peraga Peristiwa
ID peristiwa 4688 dicatat setiap kali proses baru dibuat. Ini mendokumentasikan setiap program yang dijalankan oleh mesin dan data pengenalnya, termasuk pencipta, target, dan proses yang memulainya. Beberapa peristiwa dicatat di bawah ID peristiwa 4688. Saat masuk, Subsistem Manajer Sesi (SMSS.exe) diluncurkan, dan kejadian 4688 dicatat. Jika suatu sistem terinfeksi oleh malware, malware tersebut kemungkinan akan membuat proses baru untuk dijalankan. Proses tersebut akan didokumentasikan di bawah ID 4688.
Menafsirkan ID Peristiwa 4688
Untuk menginterpretasikan ID peristiwa 4688, penting untuk memahami berbagai bidang yang termasuk dalam log peristiwa. Bidang ini dapat digunakan untuk mendeteksi penyimpangan dan melacak asal proses kembali ke sumbernya.
- Subjek Pembuat: bidang ini memberikan informasi tentang akun pengguna yang meminta pembuatan proses baru. Bidang ini memberikan konteks dan dapat membantu penyelidik forensik mengidentifikasi anomali. Ini mencakup beberapa subbidang, termasuk:
- Security Identifier (SID)” Menurut Microsoft, SID adalah nilai unik yang digunakan untuk mengidentifikasi wali amanat. Ini digunakan untuk mengidentifikasi pengguna di mesin Windows.
- Nama Akun: SID diselesaikan untuk menampilkan nama akun yang memulai pembuatan proses baru.
- Account Domain: domain milik komputer.
- Logon ID: nilai heksadesimal unik yang digunakan untuk mengidentifikasi sesi logon pengguna. Ini dapat digunakan untuk mengkorelasikan peristiwa yang berisi ID peristiwa yang sama.
- Subjek Target: bidang ini memberikan informasi tentang akun pengguna tempat proses berjalan. Subjek yang disebutkan dalam peristiwa pembuatan proses mungkin, dalam beberapa keadaan, berbeda dari subjek yang disebutkan dalam peristiwa penghentian proses. Jadi, ketika pembuat dan target tidak memiliki logon yang sama, penting untuk menyertakan subjek target meskipun keduanya mereferensikan ID proses yang sama. Subbidangnya sama dengan subjek pembuat di atas.
- Informasi Proses: bidang ini memberikan informasi terperinci tentang proses yang dibuat. Ini mencakup beberapa subbidang, termasuk:
- ID Proses Baru (PID): nilai heksadesimal unik yang ditetapkan untuk proses baru. Sistem operasi Windows menggunakannya untuk melacak proses aktif.
- Nama Proses Baru: jalur lengkap dan nama file yang dapat dieksekusi yang diluncurkan untuk membuat proses baru.
- Jenis Evaluasi Token: evaluasi token adalah mekanisme keamanan yang digunakan oleh Windows untuk menentukan apakah akun pengguna berwenang untuk melakukan tindakan tertentu. Jenis token yang akan digunakan proses untuk meminta hak istimewa yang lebih tinggi disebut "tipe evaluasi token". Ada tiga kemungkinan nilai untuk bidang ini. Tipe 1 (%%1936) menunjukkan bahwa proses menggunakan token pengguna default dan tidak meminta izin khusus apa pun. Untuk bidang ini, ini adalah nilai yang paling umum. Tipe 2 (%%1937) menunjukkan bahwa proses meminta hak administrator penuh untuk dijalankan dan berhasil mendapatkannya. Saat pengguna menjalankan aplikasi atau proses sebagai administrator, itu diaktifkan. Tipe 3 (%%1938) menunjukkan bahwa proses hanya menerima hak yang diperlukan untuk melakukan tindakan yang diminta, meskipun meminta peningkatan hak istimewa.
- Label Wajib: label integritas yang ditetapkan untuk proses.
- ID Proses Pembuat: nilai heksadesimal unik yang ditetapkan ke proses yang memulai proses baru.
- Nama Proses Pembuat: jalur lengkap dan nama proses yang membuat proses baru.
- Baris Perintah Proses: memberikan perincian tentang argumen yang diteruskan ke perintah untuk memulai proses baru. Ini mencakup beberapa subbidang termasuk direktori dan hash saat ini.
Kesimpulan
Saat menganalisis suatu proses, penting untuk menentukan apakah itu sah atau berbahaya. Proses yang sah dapat dengan mudah diidentifikasi dengan melihat subjek pembuat dan bidang informasi proses. ID proses dapat digunakan untuk mengidentifikasi anomali, seperti proses baru yang muncul dari proses induk yang tidak biasa. Baris perintah juga dapat digunakan untuk memverifikasi keabsahan suatu proses. Misalnya, proses dengan argumen yang menyertakan jalur file ke data sensitif mungkin mengindikasikan niat jahat. Kolom Subjek Pembuat dapat digunakan untuk menentukan apakah akun pengguna dikaitkan dengan aktivitas yang mencurigakan atau memiliki hak istimewa yang lebih tinggi.
Selain itu, penting untuk mengkorelasikan event ID 4688 dengan event lain yang relevan dalam sistem untuk mendapatkan konteks tentang proses yang baru dibuat. ID Peristiwa 4688 dapat dikorelasikan dengan 5156 untuk menentukan apakah proses baru dikaitkan dengan koneksi jaringan apa pun. Jika proses baru dikaitkan dengan layanan yang baru dipasang, kejadian 4697 (pemasangan layanan) dapat dikorelasikan dengan 4688 untuk memberikan informasi tambahan. ID Peristiwa 5140 (pembuatan file) juga dapat digunakan untuk mengidentifikasi file baru yang dibuat oleh proses baru.
Kesimpulannya, memahami konteks sistem adalah untuk menentukan potensi dampak dari proses. Sebuah proses yang dimulai pada server kritis cenderung memiliki dampak yang lebih besar daripada yang diluncurkan pada mesin yang berdiri sendiri. Konteks membantu mengarahkan penyelidikan, memprioritaskan respons, dan mengelola sumber daya. Dengan menganalisis bidang yang berbeda di log peristiwa dan melakukan korelasi dengan peristiwa lain, proses anomali dapat ditelusuri ke asalnya dan penyebabnya ditentukan.
