Проблема: Выявление признаков несанкционированного повышения привилегий (UAC bypass, Token Manipulation, Exploitation of Vulnerabilities) по логам Windows.

Причины:
1. Выполнение процесса с правами SYSTEM из-под низкопривилегированного пользователя.
2. Создание или модификация токенов (SeDebugPrivilege, SeImpersonatePrivilege).
3. Использование легитимных утилит (PsExec, WMIC, Csc.exe) в нехарактерном контексте.
4. Аномальная активность планировщика задач (at, schtasks) от имени SYSTEM.
5. Срабатывание фильтров AppLocker или Windows Defender (Event ID 4688, 8037, 1000).

Решение:

1. Собрать критичные Event ID:
- 4624 — вход в систему. Анализировать Logon Type=2 (интерактивный) и TokenElevationType=%%1937 (полный UAC).
- 4672 — назначение специальных привилегий (SeTcbPrivilege, SeDebugPrivilege).
- 4688 — создание процесса. Сравнивать Parent PID, CommandLine (например, `rundll32.exe` без аргументов).
- 4697 — установка службы (искать имя службы, бинарник в `%AppData%`).
- 7036 — переход службы в состояние "Running".

2. Проверить аномалии в логах PowerShell (Event ID 4104, 4103):
- Команды с `Invoke-Expression`, `-WindowStyle Hidden`.
- Скрипты с вызовами Win32 API (CreateProcessAsUser, NtDuplicateToken).

3. Сканировать временные метки:
- Выполнение `icalcs`, `takeown`, `icacls` на защищённые папки (C:\Windows\System32).
- Создание файлов `.ps1` в `C:\Users\Public` с последующим запуском от SYSTEM.

4. Команды для быстрого анализа (PowerShell Admin):
powershell
# События с SeDebugPrivilege

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672} | Where-Object {$_.Properties[5].Value -like 'SeDebugPrivilege'}



   # Процессы с родителем-explorer, запущенные от Low Integrity

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | 

   Where-Object {$_.Properties[4].Value -eq 'explorer.exe' -and $_.Properties[8].Value -like 'Low'}


5. Особые кейсы:
- UAC bypass через FodHelper (Event ID 4688): Parent PID = `svchost.exe`, CommandLine = `fodhelper.exe` или `computerdefaults`.
- Token Impersonation: Искать `seclogon` (Event ID 4649, 4611) с аномальной Source `Token`.

Проверка цепочки от A до Z:
1. Найти процесс с PID, соответствующий подозрительному 4688.
2. По Event ID 4624 установить сессию инициатора (LogonId).
3. Связать с 4697 (если служба) или 4104 (PowerShell).
4. Проверить, присутствовал ли у пользователя SeImpersonatePrivilege в 4672 до первого аномального 4688.