Defansif Güvenlik

Blue Team Bakış Açısıyla Windows Sistem Processleri 1: csrss.exe

Saldırganların ele geçirdikleri sistemlerde, kendi zararlı processlerini gizlemek, savunma mekanizmalarını atlatmak için kullandıkları yöntemlerden biri de Windows sistem processlerini taklit etmektir. Örneğin; C:\Windows\System32 dizini yerine C:\Windows\Temp dizininden başlatılan ve svchost.exe, lsass.exe gibi isimler verilerek legal processlere benzetilmeye çalışılan bir sahte process gibi.

Burcu Demiralp |

13.04.2021

Bu yöntemlerin kullanıldığı bir siber olayda, zararlı processin tespiti için taklit edilen processin normal şartlarda nasıl çalıştığını bilmek önemlidir. Yani oluşan anomalinin tespiti için normal olan bilinmelidir.

Yazı dizisi şeklinde devam ettireceğimiz bu blog yazılarında öncelikle Windows sistem processlerinin normal şartlarda nasıl çalıştığı (İlgili processin hangi dizinden ve hangi process tarafından başlatıldığı, hangi kullanıcı haklarıyla çalıştığı, processin ne zaman başladığı vb.), ardından sistemlerimizde bulunabilecek zararlı processlerin nasıl tespit edilebileceği ele alınacaktır. İlk olarak inceleyeceğimiz process: csrss.exe

windows_sistem_prcessleri

Windows işletim sistemi için önemli processlerden biri olan csrss.exe thread ve processlerin oluşturulması ve silinmesinden sorumludur. Windows 7 ve önceki işletim sistemlerinde ek olarak komut satırı aracılığıyla yürütülen uygulamaların/komutların çalıştırılmasını sağlamaktaydı.

C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir. Aynı zamanda çalışan 2 veya daha fazla csrss.exe olabilmektedir. Bunlardan ilk ikisi işletim sisteminin başlatılması esnasında Session 0 ve Session 1 için oluşturulmaktadır. Ek oturumlar (RDP, User Switching vb.) açıldığında yeni csrss.exe başlatılmaktadır. Çalışan csrss.exe processlerinin tamamı NT AUTHORITY\SYSTEM kullanıcısı haklarıyla çalışmaktadır.

Çalışan csrss.exe processlerine dair ayrıntılar Process Hacker gibi process ağacı inceleme araçlarıyla görüntülenebilmektedir.

csrss_exe_process

Bununla birlikte csrss.exe çalışmaya başladığında sistemde oluşan 4688 Event ID’li Windows Security Logu aşağıdaki gibidir.

Yukarıda bahsedilmiş olduğu gibi, SYSTEM haklarıyla çalışan csrss.exe C:\Windows\System32\ dizininden başlatılmış olup, parent processi smss.exe’dir.

parent_process

Zararlı csrss.exe Processinin Tespiti:

Yazının bu bölümünde csrss.exe’nin saldırganlar tarafından nasıl kullanılabildiğine dair bir atak simülasyonu gerçekleştirecek ve zararlı processin sistemlerimizde nasıl tespit edileceğine dair use-case örneği paylaşılacaktır.

HFS 2.3 (HTTP File Server) dosya sunucusunda bulunan “Remote Command Execution” zafiyeti sömürülerek hedef sistemde uzaktan komut çalıştırılacak ve zararlı csrss.exe processi sisteme yüklenerek tetiklenecektir.  (https://www.exploit-db.com/exploits/39161)

  • Hedef sisteme zafiyetli dosya sunucusunun kurulumu ve zafiyetin exploit edilebildiğine dair aşağıdaki gibi bir test yapıldı.
zafiyet_testi

* Hedef sisteme ait IP adresi 172.16.198.2, saldırgan sisteme ait IP adresi 172.16.198.4.

  • Ardından hedef sisteme gönderilmek üzere msfvenom ile zararlı csrss.exe processi oluşturuldu.
csrss_exe_process_2
  • Saldırgan sistemde bir web sunucu başlatıldı.  Hedef sistemde bulunan certutil.exe aracılığıyla zararlı process dosyası hedefe yüklendi.  
zararli_process
  • Yine mevcut zafiyet sömürülerek zararlı process dosyası tetiklendi.
zararli_process_2

Zararlı process dosyasının tetiklenmesinden sonra, görünürde oldukça legal olan zararlı csrss.exe çalışmaya başladı.

zararli_process_3

Zararlı csrss.exe’nin çalışmaya başlamasıyla oluşan 4688 Event ID’li Windows Security Log’unda ise, log detayında bulunan Security ID, Process Name, Parent Process gibi verilerin her biri processin legal olup olmadığına dair kanıt sunuyor.

zararli_csrss_exe

Aşağıdaki gibi bir siem korelasyon kuralı örneği ile de bu tekniklerle gerçekleştirilen bir atağın tespiti yapılabilir. Benzer use-case diğer Windows sistem processleri için de uyarlanabilir.

& AND

  • Windows Security Log Event ID = 4688
  • Process Name contains csrss.exe
  • OR
    • Creator Security ID != SYSTEM
    • Image Path != “C:\Windows\System32\”
    • Parent Process Name != “C:\Windows\System32\smss.exe”

 

Burcu Demiralp |

13.04.2021

Yorumlar

Bediha ŞAHİN
13.04.2021 - 06:29

Başarılı bir çalışma olmuş emeğinize sağlık 🌠

Kemal Altunkaynak
17.04.2021 - 04:23

Çok faydalı bir paylaşım gerçekten. Ellerinize sağlık.

Büşra
20.04.2021 - 02:46

Keyifli bir okumaydı, tebrikler. 👏 Yazı dizisinin devamını merakla bekliyoruz. 🙂

mervan dincer
08.04.2022 - 04:06
Harika bir çalışma başarılarının devamını dilerim. iç mimar