စုံစမ်းစစ်ဆေးမှုတစ်ခုတွင် Windows Security Event ID 4688 ကို မည်သို့အဓိပ္ပာယ်ပြန်ဆိုရမည်နည်း။

12 months ago

စုံစမ်းစစ်ဆေးမှုတစ်ခုတွင် Windows Security Event ID 4688 ကို မည်သို့အဓိပ္ပာယ်ပြန်ဆိုရမည်နည်း။

နိဒါန္း

အဆိုအရ Microsoft က၊ ဖြစ်ရပ် ID များ (ဖြစ်ရပ် identifiers များဟုလည်း ခေါ်သည်) သည် သီးခြားဖြစ်ရပ်တစ်ခုကို ခွဲခြားသတ်မှတ်သည်။ ၎င်းသည် Windows လည်ပတ်မှုစနစ်မှ မှတ်တမ်းတင်ထားသော ဖြစ်ရပ်တစ်ခုစီတွင် ပူးတွဲပါရှိသော ကိန်းဂဏန်းအမှတ်အသားတစ်ခုဖြစ်သည်။ ခွဲခြားသတ်မှတ်ပေးသည်။ သတင်းအချက်အလက် ဖြစ်ပွားခဲ့သည့် ဖြစ်ရပ်နှင့်ပတ်သက်ပြီး စနစ်လုပ်ဆောင်ချက်များနှင့် ပတ်သက်သော ပြဿနာများကို ဖော်ထုတ်ဖြေရှင်းရန် အသုံးပြုနိုင်သည်။ ဤအခြေအနေတွင် ဖြစ်ရပ်တစ်ခုသည် စနစ် သို့မဟုတ် စနစ်တစ်ခုရှိ အသုံးပြုသူတစ်ဦးမှ လုပ်ဆောင်သည့် မည်သည့်လုပ်ဆောင်ချက်ကိုမဆို ရည်ညွှန်းသည်။ ဤဖြစ်ရပ်များကို Event Viewer ကို အသုံးပြု၍ Windows တွင် ကြည့်ရှုနိုင်ပါသည်။

လုပ်ငန်းစဉ်အသစ်တစ်ခုဖန်တီးသည့်အခါတိုင်း event ID 4688 ကို မှတ်တမ်းတင်ထားသည်။ ၎င်းသည် စက်မှလုပ်ဆောင်သော ပရိုဂရမ်တစ်ခုစီနှင့် ဖန်တီးသူ၊ ပစ်မှတ်နှင့် ၎င်းကိုစတင်ခဲ့သည့် လုပ်ငန်းစဉ်များအပါအဝင် ၎င်း၏ခွဲခြားသတ်မှတ်ဒေတာများကို မှတ်တမ်းတင်ထားသည်။ ဖြစ်ရပ်များစွာကို ဖြစ်ရပ် ID 4688 အောက်တွင် မှတ်တမ်းတင်ထားသည်။ လော့ဂ်အင်ဝင်သောအခါ၊ Session Manager Subsystem (SMSS.exe) ပွင့်လာပြီး ဖြစ်ရပ် 4688 ကို မှတ်တမ်းတင်ထားသည်။ စနစ်တစ်ခု malware ကူးစက်ခံရပါက၊ malware သည် လုပ်ဆောင်ရန် လုပ်ငန်းစဉ်အသစ်များကို ဖန်တီးနိုင်ဖွယ်ရှိသည်။ ထိုလုပ်ငန်းစဉ်များကို ID 4688 အောက်တွင် မှတ်တမ်းတင်ထားမည်ဖြစ်ပါသည်။

Redmine ကို AWS တွင် Ubuntu 20.04 တွင် အသုံးပြုပါ။

ဖြစ်ရပ် ID 4688 စကားပြန်

Event ID 4688 ကို အဓိပ္ပာယ်ပြန်ဆိုရန်အတွက်၊ Event Log တွင်ပါဝင်သော မတူညီသောနယ်ပယ်များကို နားလည်ရန် အရေးကြီးပါသည်။ ဤအကွက်များကို မမှန်မကန်ရှာဖွေရန်နှင့် လုပ်ငန်းစဉ်၏ဇာစ်မြစ်ကို ၎င်း၏ရင်းမြစ်သို့ ပြန်၍ခြေရာခံရန် ဤအကွက်များကို အသုံးပြုနိုင်သည်။

ဖန်ဆင်းရှင်အကြောင်းအရာ- ဤအကွက်သည် လုပ်ငန်းစဉ်အသစ်တစ်ခုဖန်တီးရန် တောင်းဆိုသော သုံးစွဲသူအကောင့်အကြောင်း အချက်အလက်ကို ပေးပါသည်။ ဤအကွက်သည် အကြောင်းအရာကို ပံ့ပိုးပေးကာ မှုခင်းဆေးပညာ စုံစမ်းစစ်ဆေးသူများသည် ကွဲလွဲချက်များကို ရှာဖွေဖော်ထုတ်ရာတွင် ကူညီပေးနိုင်သည်။ ၎င်းတွင် နယ်ပယ်ခွဲများစွာ အပါအဝင်၊

- Security Identifier (SID)” အရ သိရသည်။ Microsoft ကSID သည် ဂေါပကတစ်ဦးကို ဖော်ထုတ်ရန် အသုံးပြုသည့် ထူးခြားသောတန်ဖိုးဖြစ်သည်။ ၎င်းကို Windows စက်ရှိ အသုံးပြုသူများကို ခွဲခြားသတ်မှတ်ရန် အသုံးပြုသည်။
- အကောင့်အမည်- လုပ်ငန်းစဉ်အသစ်ကို စတင်ဖန်တီးခဲ့သည့် အကောင့်အမည်ကို ပြသရန် SID မှ ဆုံးဖြတ်ထားသည်။
- အကောင့်ဒိုမိန်း- ကွန်ပျူတာပိုင်ဒိုမိန်း။
- Logon ID- အသုံးပြုသူ၏ လော့ဂ်အင်ဆက်ရှင်ကို ခွဲခြားသတ်မှတ်ရန် အသုံးပြုသည့် သီးသန့် hexadecimal တန်ဖိုး။ တူညီသော ဖြစ်ရပ် ID ပါရှိသော ဖြစ်ရပ်များကို ဆက်စပ်ရန် ၎င်းကို သုံးနိုင်သည်။

ပစ်မှတ်အကြောင်းအရာ- ဤအကွက်သည် လုပ်ငန်းစဉ်အောက်တွင် လုပ်ဆောင်နေသော သုံးစွဲသူအကောင့်အကြောင်း အချက်အလက်ကို ပေးပါသည်။ လုပ်ငန်းစဉ်ဖန်တီးမှုဖြစ်ရပ်တွင်ဖော်ပြထားသည့်အကြောင်းအရာသည် အချို့သောအခြေအနေများတွင်၊ လုပ်ငန်းစဉ်ရပ်စဲခြင်းဖြစ်ရပ်တွင်ဖော်ပြထားသည့်အကြောင်းအရာနှင့် ကွဲပြားနိုင်သည်။ ထို့ကြောင့်၊ ဖန်တီးသူနှင့် ပစ်မှတ်သည် တူညီသော logon မရှိသောအခါ၊ ၎င်းတို့နှစ်ဦးစလုံးသည် တူညီသောလုပ်ငန်းစဉ် ID ကိုရည်ညွှန်းသော်လည်း ပစ်မှတ်အကြောင်းအရာကို ထည့်သွင်းရန် အရေးကြီးပါသည်။ နယ်ပယ်ခွဲများသည် အထက်ဖော်ပြပါ ဖန်တီးရှင်အကြောင်းအရာနှင့် တူညီပါသည်။
လုပ်ငန်းစဉ်အချက်အလက်- ဤအကွက်သည် ဖန်တီးထားသော လုပ်ငန်းစဉ်အကြောင်း အသေးစိတ်အချက်အလက်များကို ပေးဆောင်သည်။ ၎င်းတွင် နယ်ပယ်ခွဲများစွာ အပါအဝင်၊

- လုပ်ငန်းစဉ် ID အသစ် (PID)- လုပ်ငန်းစဉ်အသစ်အတွက် သတ်မှတ်ထားသော သီးသန့် hexadecimal တန်ဖိုး။ Windows လည်ပတ်မှုစနစ်သည် တက်ကြွသော လုပ်ငန်းစဉ်များကို ခြေရာခံရန် ၎င်းကို အသုံးပြုသည်။
- လုပ်ငန်းစဉ်အသစ်အမည်- လုပ်ငန်းစဉ်အသစ်ကိုဖန်တီးရန် စတင်လုပ်ဆောင်သည့် စီမံဆောင်ရွက်နိုင်သောဖိုင်၏ လမ်းကြောင်းနှင့် အမည်အပြည့်အစုံ။
- တိုကင်အကဲဖြတ်ခြင်း အမျိုးအစား- တိုကင်အကဲဖြတ်ခြင်းသည် သုံးစွဲသူအကောင့်တစ်ခုအား သီးခြားလုပ်ဆောင်ချက်တစ်ခုလုပ်ဆောင်ရန် ခွင့်ပြုထားခြင်းရှိမရှိ ဆုံးဖြတ်ရန် Windows မှ အသုံးပြုသည့် လုံခြုံရေးယန္တရားတစ်ခုဖြစ်သည်။ မြင့်မားသောအခွင့်ထူးများတောင်းဆိုရန် လုပ်ငန်းစဉ်တစ်ခုအသုံးပြုမည့် တိုကင်အမျိုးအစားကို "တိုကင်အကဲဖြတ်မှုအမျိုးအစား" ဟုခေါ်သည်။ ဤအကွက်အတွက် ဖြစ်နိုင်ချေ သုံးခုရှိသည်။ အမျိုးအစား 1 (%%1936) သည် လုပ်ငန်းစဉ်သည် ပုံသေအသုံးပြုသူ တိုကင်ကို အသုံးပြုနေပြီး အထူးခွင့်ပြုချက်များကို တောင်းဆိုထားခြင်းမရှိကြောင်း ဖော်ပြသည်။ ဤအကွက်အတွက်၊ ၎င်းသည် အသုံးအများဆုံးတန်ဖိုးဖြစ်သည်။ အမျိုးအစား 2 (%%1937) သည် လုပ်ငန်းစဉ်သည် လုပ်ဆောင်ရန် စီမံခန့်ခွဲသူအခွင့်ထူးများကို အပြည့်အဝ တောင်းဆိုထားပြီး ၎င်းတို့ကို ရယူရာတွင် အောင်မြင်ကြောင်း ရည်ညွှန်းသည်။ အသုံးပြုသူသည် အက်ပလီကေးရှင်းတစ်ခု သို့မဟုတ် စီမံခန့်ခွဲသူအဖြစ် လုပ်ဆောင်သည့်အခါ ၎င်းကို ဖွင့်ထားသည်။ အမျိုးအစား 3 (%%1938) သည် တောင်းဆိုထားသော လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ရန် လိုအပ်သည့် အခွင့်အရေးများကိုသာ ရရှိထားကြောင်း၊ ၎င်းသည် မြင့်မားသောအခွင့်အရေးများကို တောင်းဆိုထားသော်လည်း၊

- မဖြစ်မနေအညွှန်း- လုပ်ငန်းစဉ်အတွက် သတ်မှတ်ထားသော ခိုင်မာမှုတံဆိပ်တစ်ခု။
- ထုတ်လုပ်သူ လုပ်ငန်းစဉ် ID- လုပ်ငန်းစဉ်အသစ်ကို စတင်သည့် လုပ်ငန်းစဉ်အတွက် သတ်မှတ်ထားသော သီးသန့် hexadecimal တန်ဖိုး။
- လုပ်ငန်းစဉ်အမည်- လုပ်ငန်းစဉ်အသစ်ကို ဖန်တီးသည့် လမ်းကြောင်းအပြည့်အစုံနှင့် လုပ်ငန်းစဉ်အမည်။
- စီမံကွပ်ကဲမှုလိုင်း- လုပ်ငန်းစဉ်အသစ်ကို စတင်ရန်အတွက် အမိန့်ပေးသည့် အကြောင်းပြချက်များအကြောင်း အသေးစိတ်ကို ပေးသည်။ ၎င်းတွင် လက်ရှိ လမ်းညွှန်နှင့် ဟက်ရှ်များ အပါအဝင် နယ်ပယ်ခွဲများစွာ ပါဝင်သည်။

Ubuntu 18.04 တွင် GoPhish Phishing Platform ကို AWS သို့ အသုံးချပါ။

ကောက်ချက်

လုပ်ငန်းစဉ်တစ်ခုကို ခွဲခြမ်းစိတ်ဖြာသည့်အခါ၊ ၎င်းသည် တရားဝင်ခြင်း သို့မဟုတ် အန္တရာယ်ရှိမရှိ ဆုံးဖြတ်ရန် အရေးကြီးပါသည်။ ဖန်တီးသူအကြောင်းအရာနှင့် လုပ်ငန်းစဉ်အချက်အလက်နယ်ပယ်များကို ကြည့်ရှုခြင်းဖြင့် တရား၀င်လုပ်ငန်းစဉ်ကို အလွယ်တကူ ဖော်ထုတ်နိုင်သည်။ ပုံမှန်မဟုတ်သော မိဘလုပ်ငန်းစဉ်မှ ပေါက်ဖွားလာသော လုပ်ငန်းစဉ်အသစ်ကဲ့သို့သော ကွဲလွဲချက်များကို ဖော်ထုတ်ရန် လုပ်ငန်းစဉ် ID ကို အသုံးပြုနိုင်သည်။ လုပ်ငန်းစဉ်တစ်ခု၏တရားဝင်မှုကိုစစ်ဆေးရန်အတွက်လည်း command line ကိုအသုံးပြုနိုင်သည်။ ဥပမာအားဖြင့်၊ အရေးကြီးသောဒေတာဆီသို့ ဖိုင်လမ်းကြောင်းတစ်ခုပါ၀င်သည့် အကြောင်းပြချက်များပါရှိသော လုပ်ငန်းစဉ်တစ်ခုသည် အန္တရာယ်ရှိသော ရည်ရွယ်ချက်ကို ဖော်ပြနိုင်သည်။ အသုံးပြုသူအကောင့်သည် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များနှင့် ဆက်စပ်မှုရှိမရှိ ဆုံးဖြတ်ရန် ဖန်တီးသူအကြောင်းအရာအကွက်ကို အသုံးပြုနိုင်သည်။

ထို့အပြင်၊ အသစ်ဖန်တီးထားသော လုပ်ငန်းစဉ်နှင့်ပတ်သက်သော အကြောင်းအရာများရရှိရန် စနစ်အတွင်းရှိ အခြားသော သက်ဆိုင်ရာဖြစ်ရပ်များနှင့် အဖြစ်အပျက် ID 4688 ကို ဆက်စပ်ရန် အရေးကြီးပါသည်။ လုပ်ငန်းစဉ်အသစ်သည် မည်သည့်ကွန်ရက်ချိတ်ဆက်မှုများနှင့်မဆို ဆက်စပ်မှုရှိမရှိ ဆုံးဖြတ်ရန် Event ID 4688 သည် 5156 နှင့် ဆက်စပ်နိုင်သည်။ လုပ်ငန်းစဉ်အသစ်သည် အသစ်ထည့်သွင်းထားသော ဝန်ဆောင်မှုတစ်ခုနှင့် ဆက်စပ်နေပါက၊ ဖြစ်ရပ် 4697 (ဝန်ဆောင်မှုထည့်သွင်းခြင်း) သည် အပိုအချက်အလက်များကို ပေးဆောင်ရန် 4688 နှင့် ဆက်စပ်နိုင်ပါသည်။ Event ID 5140 (ဖိုင်ဖန်တီးမှု) ကို လုပ်ငန်းစဉ်အသစ်မှ ဖန်တီးထားသည့် မည်သည့်ဖိုင်အသစ်ကိုမဆို ခွဲခြားသတ်မှတ်ရန်အတွက်လည်း အသုံးပြုနိုင်သည်။

နိဂုံးချုပ်အားဖြင့်၊ စနစ်၏ ဆက်စပ်မှုကို နားလည်ခြင်းသည် အလားအလာကို ဆုံးဖြတ်ရန်ဖြစ်သည်။ သက်ရောက်မှု လုပ်ငန်းစဉ်၏။ အရေးပါသော ဆာဗာတစ်ခုပေါ်တွင် စတင်လုပ်ဆောင်သည့် လုပ်ငန်းစဉ်သည် သီးသန့်စက်တစ်ခုပေါ်တွင် စတင်လုပ်ဆောင်ခြင်းထက် ပိုမိုအကျိုးသက်ရောက်မှုရှိနိုင်ဖွယ်ရှိသည်။ အကြောင်းအရာသည် စုံစမ်းစစ်ဆေးမှုကို ညွှန်ကြားရန်၊ တုံ့ပြန်မှုကို ဦးစားပေးပြီး အရင်းအမြစ်များကို စီမံခန့်ခွဲရန် ကူညီပေးသည်။ ဖြစ်ရပ်မှတ်တမ်းရှိ မတူညီသောနယ်ပယ်များကို ပိုင်းခြားစိတ်ဖြာပြီး အခြားဖြစ်ရပ်များနှင့် ဆက်စပ်မှုကို လုပ်ဆောင်ခြင်းဖြင့်၊ မမှန်သောလုပ်ငန်းစဉ်များကို ၎င်းတို့၏ဇာစ်မြစ်နှင့် အကြောင်းရင်းကို ပိုင်းခြားသိရှိနိုင်မည်ဖြစ်သည်။