Ahoana ny fomba fandikana ny Windows Security Event ID 4688 amin'ny fanadihadiana

Fampidirana

Araka ny Microsoft, ny ID hetsika (antsoina koa hoe famantarana hetsika) dia mamaritra manokana hetsika iray. Izy io dia famantarana nomerika mipetaka amin'ny hetsika tsirairay voarakitra ao amin'ny rafitra fiasan'ny Windows. Ny identifier dia manome vaovao momba ny hetsika nitranga ary azo ampiasaina hamantarana sy hamahana olana mifandraika amin'ny fiasan'ny rafitra. Ny hetsika, amin'ity toe-javatra ity, dia manondro izay hetsika ataon'ny rafitra na mpampiasa amin'ny rafitra iray. Ireo hetsika ireo dia azo jerena amin'ny Windows mampiasa ny Event Viewer

Ny ID 4688 hetsika dia voarakitra isaky ny misy dingana vaovao noforonina. Izy io dia mirakitra an-tsoratra ny programa tsirairay tanterahan'ny milina sy ny angona famantarana azy, ao anatin'izany ny mpamorona, ny tanjona ary ny dingana nanombohana azy. Hetsika maromaro no voarakitra ao amin'ny ID 4688. Rehefa miditra, dia alefa ny Session Manager Subsystem (SMSS.exe), ary ny hetsika 4688 dia voarakitra. Raha voan'ny malware ny rafitra iray, dia mety hamorona dingana vaovao handehanana ilay malware. Ireo dingana ireo dia ho voarakitra ao amin'ny ID 4688.

 

Ampidiro ny Redmine amin'ny Ubuntu 20.04 amin'ny AWS

Interpreting Event ID 4688

Mba handikana ny hetsika ID 4688, dia zava-dehibe ny mahatakatra ireo sehatra samihafa tafiditra ao amin'ny diarin'ny hetsika. Ireo saha ireo dia azo ampiasaina hamantarana izay tsy fanarahan-dalàna ary hanaraha-maso ny niandohan'ny dingana iray hiverina any amin'ny loharano.

• Lohahevitra Mpamorona: ity sehatra ity dia manome fampahalalana momba ny kaonty mpampiasa nangataka ny famoronana dingana vaovao. Ity sehatra ity dia manome teny manodidina ary afaka manampy ireo mpanao famotorana forensika hamantatra ny tsy mety. Izy io dia ahitana subfields maromaro, ao anatin'izany:

• • Security Identifier (SID)” araka ny Microsoft, ny SID dia sanda tokana ampiasaina hamantarana ny tompon'andraikitra. Izy io dia ampiasaina hamantarana ireo mpampiasa amin'ny milina Windows.
  • Anaran'ny kaonty: ny SID dia tapa-kevitra ny hampiseho ny anaran'ny kaonty izay nanomboka ny famoronana ny dingana vaovao.
  • Kaonty Domain: ny sehatra misy ny solosaina.
  • Logon ID: sanda hexadecimal tokana ampiasaina hamantarana ny fivorian'ny mpampiasa. Azo ampiasaina hampifandray ireo hetsika izay misy ID hetsika mitovy.

• Lohahevitra kendrena: ity sehatra ity dia manome fampahalalana momba ny kaonty mpampiasa izay iasan'ny dingana. Ny lohahevitra voalaza ao amin'ny hetsika famoronana dingana dia mety, amin'ny toe-javatra sasany, tsy mitovy amin'ny lohahevitra voalaza ao amin'ny hetsika fampitsaharana ny dingana. Noho izany, rehefa tsy mitovy ny logon ny mpamorona sy ny kendrena, dia zava-dehibe ny mampiditra ny foto-kevitra kendrena na dia samy manondro ny ID dingana mitovy aza izy ireo. Mitovy amin'ny an'ny lohahevitry ny mpamorona etsy ambony ny zana-tany.
• Fampahalalana momba ny dingana: ity sehatra ity dia manome fampahalalana amin'ny antsipiriany momba ny dingana noforonina. Izy io dia ahitana subfields maromaro, ao anatin'izany:

• • New Process ID (PID): sanda hexadecimal tokana nomena ny dingana vaovao. Ny rafitra miasa Windows dia mampiasa azy io mba hanaraha-maso ireo dingana mavitrika.
  • Anaran'ny dingana vaovao: ny lalana feno sy ny anaran'ny rakitra azo tanterahana izay natomboka mba hamoronana ny dingana vaovao.
  • Karazana fanombanana ny famantarana: ny fanombanana famantarana dia rafitra fiarovana ampiasain'ny Windows hamaritana raha mahazo alalana hanao hetsika manokana ny kaonty mpampiasa iray. Antsoina hoe “karazana fanombanana token” ny karazana famantarana hampiasain'ny dingana iray hangataka tombontsoa ambony. Misy sanda telo mety ho an'ity sehatra ity. Ny karazana 1 (%%1936) dia manondro fa ny dingana dia mampiasa ny mari-pamantarana mpampiasa default ary tsy nangataka alalana manokana. Ho an'ity sehatra ity dia io no sanda mahazatra indrindra. Ny karazana 2 (%%1937) dia manondro fa ny dingana dia nangataka tombontsoa feno ho an'ny mpitantana ary nahomby tamin'ny fahazoana azy ireo. Rehefa mampiasa fampiharana na dingana amin'ny maha-mpitantana azy ny mpampiasa dia alefa izany. Ny karazana 3 (%%1938) dia manondro fa ny dingana dia tsy nahazo afa-tsy ny zo takiana hanatanterahana ny hetsika nangatahana, na dia nangataka tombontsoa ambony aza.

• • Label tsy maintsy atao: mari-pamantarana momba ny fahamendrehana nomena ny dingana. 
  • Creator Process ID: sanda hexadecimal tokana nomena ny dingana izay nanomboka ny dingana vaovao. 
  • Anaran'ny fizotran'ny mpamorona: lalana feno sy anaran'ny dingana namoronana ny dingana vaovao.
  • Process Command Line: manome tsipiriany momba ny hevitra nampidirina tao amin'ny baiko hanombohana ny dingana vaovao. Ahitana sehatra maromaro ao anatin'izany ny lahatahiry sy hashes ankehitriny.

Ampidiro ny sehatra phishing GoPhish amin'ny Ubuntu 18.04 ao amin'ny AWS

Famaranana

 

Rehefa mamakafaka ny dingana iray dia tena ilaina ny mamantatra raha ara-dalàna na manimba ilay izy. Ny dingana ara-dalàna dia mora fantatra amin'ny fijerena ny lohahevitry ny mpamorona sy ny sehatry ny fampahalalam-baovao. Ny ID process dia azo ampiasaina hamantarana ny anomalia, toy ny dingana vaovao nateraky ny dingan'ny ray aman-dreny tsy mahazatra. Ny andalana baiko dia azo ampiasaina hanamarinana ny maha ara-dalàna ny dingana iray. Ohatra, ny dingana miaraka amin'ny tohan-kevitra izay ahitana lalan'ny rakitra mankany amin'ny angona saro-pady dia mety manondro fikasan-dratsy. Ny saha Mpamorona Lohahevitra dia azo ampiasaina hamaritana raha mifandray amin'ny hetsika mampiahiahy ny kaonty mpampiasa na manana tombontsoa ambony. 

Fanampin'izay, zava-dehibe ny mampifandray ny hetsika ID 4688 amin'ny hetsika hafa mifandraika amin'ny rafitra mba hahazoana teny manodidina ny dingana vao noforonina. Event ID 4688 dia azo ampifandraisina amin'ny 5156 mba hamaritana raha mifandray amin'ny fifandraisana amin'ny tambajotra ny dingana vaovao. Raha ampifandraisina amin'ny serivisy vao napetraka ny dingana vaovao, ny hetsika 4697 (fametrahana serivisy) dia azo ampifandraisina amin'ny 4688 mba hanomezana fampahalalana fanampiny. Event ID 5140 (famoronana rakitra) dia azo ampiasaina hamantarana ireo rakitra vaovao noforonin'ny dingana vaovao.

Amin'ny famaranana, ny fahatakarana ny tontolon'ny rafitra dia ny famaritana ny mety fiantraikany ny dingana. Ny dingana atomboka amin'ny mpizara mitsikera dia mety hisy fiantraikany lehibe kokoa noho ny iray natomboka tamina milina tokana. Ny toe-javatra dia manampy amin'ny fitarihana ny fanadihadiana, mametraka laharam-pahamehana ny valiny ary mitantana loharano. Amin'ny alalan'ny famakafakana ireo sehatra samihafa ao amin'ny diarin'ny hetsika sy ny fanaovana fifamatorana amin'ny hetsika hafa, dia azo trandrahana amin'ny fiaviany sy ny antony hamaritana ny antony.