Bu yöntemlerin kullanıldığı bir siber olayda, zararlı processin tespiti için taklit edilen processin normal şartlarda nasıl çalıştığını bilmek önemlidir. Yani oluşan anomalinin tespiti için normal olan bilinmelidir.

Yazı dizisi şeklinde devam ettireceğimiz bu blog yazılarında öncelikle Windows sistem processlerinin normal şartlarda nasıl çalıştığı (İlgili processin hangi dizinden ve hangi process tarafından başlatıldığı, hangi kullanıcı haklarıyla çalıştığı, processin ne zaman başladığı vb.), ardından sistemlerimizde bulunabilecek zararlı processlerin nasıl tespit edilebileceği ele alınacaktır. İlk olarak inceleyeceğimiz process: csrss.exe

Windows işletim sistemi için önemli processlerden biri olan csrss.exe thread ve processlerin oluşturulması ve silinmesinden sorumludur. Windows 7 ve önceki işletim sistemlerinde ek olarak komut satırı aracılığıyla yürütülen uygulamaların/komutların çalıştırılmasını sağlamaktaydı.

C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir. Aynı zamanda çalışan 2 veya daha fazla csrss.exe olabilmektedir. Bunlardan ilk ikisi işletim sisteminin başlatılması esnasında Session 0 ve Session 1 için oluşturulmaktadır. Ek oturumlar (RDP, User Switching vb.) açıldığında yeni csrss.exe başlatılmaktadır. Çalışan csrss.exe processlerinin tamamı NT AUTHORITY\SYSTEM kullanıcısı haklarıyla çalışmaktadır.

Çalışan csrss.exe processlerine dair ayrıntılar Process Hacker gibi process ağacı inceleme araçlarıyla görüntülenebilmektedir.

Bununla birlikte csrss.exe çalışmaya başladığında sistemde oluşan 4688 Event ID’li Windows Security Logu aşağıdaki gibidir.

Yukarıda bahsedilmiş olduğu gibi, SYSTEM haklarıyla çalışan csrss.exe C:\Windows\System32\ dizininden başlatılmış olup, parent processi smss.exe’dir.

Zararlı csrss.exe Processinin Tespiti:

Yazının bu bölümünde csrss.exe’nin saldırganlar tarafından nasıl kullanılabildiğine dair bir atak simülasyonu gerçekleştirecek ve zararlı processin sistemlerimizde nasıl tespit edileceğine dair use-case örneği paylaşılacaktır.

HFS 2.3 (HTTP File Server) dosya sunucusunda bulunan “Remote Command Execution” zafiyeti sömürülerek hedef sistemde uzaktan komut çalıştırılacak ve zararlı csrss.exe processi sisteme yüklenerek tetiklenecektir.  (https://www.exploit-db.com/exploits/39161)

• Hedef sisteme zafiyetli dosya sunucusunun kurulumu ve zafiyetin exploit edilebildiğine dair aşağıdaki gibi bir test yapıldı.

* Hedef sisteme ait IP adresi 172.16.198.2, saldırgan sisteme ait IP adresi 172.16.198.4.

• Ardından hedef sisteme gönderilmek üzere msfvenom ile zararlı csrss.exe processi oluşturuldu.

• Saldırgan sistemde bir web sunucu başlatıldı.  Hedef sistemde bulunan certutil.exe aracılığıyla zararlı process dosyası hedefe yüklendi.  

• Yine mevcut zafiyet sömürülerek zararlı process dosyası tetiklendi.

Zararlı process dosyasının tetiklenmesinden sonra, görünürde oldukça legal olan zararlı csrss.exe çalışmaya başladı.

Zararlı csrss.exe’nin çalışmaya başlamasıyla oluşan 4688 Event ID’li Windows Security Log’unda ise, log detayında bulunan Security ID, Process Name, Parent Process gibi verilerin her biri processin legal olup olmadığına dair kanıt sunuyor.

Aşağıdaki gibi bir siem korelasyon kuralı örneği ile de bu tekniklerle gerçekleştirilen bir atağın tespiti yapılabilir. Benzer use-case diğer Windows sistem processleri için de uyarlanabilir.

& AND

• Windows Security Log Event ID = 4688
• Process Name contains csrss.exe
• ∥ OR
  • Creator Security ID != SYSTEM
  • Image Path != “C:\Windows\System32\”
  • Parent Process Name != “C:\Windows\System32\smss.exe”