Siber Güvenlik

Blue Team Bakış Açısıyla Windows Sistem Processleri 1: csrss.exe

Saldırganların ele geçirdikleri sistemlerde, kendi zararlı processlerini gizlemek, savunma mekanizmalarını atlatmak için kullandıkları yöntemlerden biri de Windows sistem processlerini taklit etmektir. Örneğin; C:\Windows\System32 dizini yerine C:\Windows\Temp dizininden başlatılan ve svchost.exe, lsass.exe gibi isimler verilerek legal processlere benzetilmeye çalışılan bir sahte process gibi.

Burcu Demiralp |

13.04.2021

Bu yöntemlerin kullanıldığı bir siber olayda, zararlı processin tespiti için taklit edilen processin normal şartlarda nasıl çalıştığını bilmek önemlidir. Yani oluşan anomalinin tespiti için normal olan bilinmelidir.

Yazı dizisi şeklinde devam ettireceğimiz bu blog yazılarında öncelikle Windows sistem processlerinin normal şartlarda nasıl çalıştığı (İlgili processin hangi dizinden ve hangi process tarafından başlatıldığı, hangi kullanıcı haklarıyla çalıştığı, processin ne zaman başladığı vb.), ardından sistemlerimizde bulunabilecek zararlı processlerin nasıl tespit edilebileceği ele alınacaktır. İlk olarak inceleyeceğimiz process: csrss.exe

windows_sistem_prcessleri

Windows işletim sistemi için önemli processlerden biri olan csrss.exe thread ve processlerin oluşturulması ve silinmesinden sorumludur. Windows 7 ve önceki işletim sistemlerinde ek olarak komut satırı aracılığıyla yürütülen uygulamaların/komutların çalıştırılmasını sağlamaktaydı.

C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir. Aynı zamanda çalışan 2 veya daha fazla csrss.exe olabilmektedir. Bunlardan ilk ikisi işletim sisteminin başlatılması esnasında Session 0 ve Session 1 için oluşturulmaktadır. Ek oturumlar (RDP, User Switching vb.) açıldığında yeni csrss.exe başlatılmaktadır. Çalışan csrss.exe processlerinin tamamı NT AUTHORITY\SYSTEM kullanıcısı haklarıyla çalışmaktadır.

Çalışan csrss.exe processlerine dair ayrıntılar Process Hacker gibi process ağacı inceleme araçlarıyla görüntülenebilmektedir.

csrss_exe_process

Bununla birlikte csrss.exe çalışmaya başladığında sistemde oluşan 4688 Event ID’li Windows Security Logu aşağıdaki gibidir.

Yukarıda bahsedilmiş olduğu gibi, SYSTEM haklarıyla çalışan csrss.exe C:\Windows\System32\ dizininden başlatılmış olup, parent processi smss.exe’dir.

parent_process

Zararlı csrss.exe Processinin Tespiti:

Yazının bu bölümünde csrss.exe’nin saldırganlar tarafından nasıl kullanılabildiğine dair bir atak simülasyonu gerçekleştirecek ve zararlı processin sistemlerimizde nasıl tespit edileceğine dair use-case örneği paylaşılacaktır.

HFS 2.3 (HTTP File Server) dosya sunucusunda bulunan “Remote Command Execution” zafiyeti sömürülerek hedef sistemde uzaktan komut çalıştırılacak ve zararlı csrss.exe processi sisteme yüklenerek tetiklenecektir.  (https://www.exploit-db.com/exploits/39161)

  • Hedef sisteme zafiyetli dosya sunucusunun kurulumu ve zafiyetin exploit edilebildiğine dair aşağıdaki gibi bir test yapıldı.
zafiyet_testi

* Hedef sisteme ait IP adresi 172.16.198.2, saldırgan sisteme ait IP adresi 172.16.198.4.

  • Ardından hedef sisteme gönderilmek üzere msfvenom ile zararlı csrss.exe processi oluşturuldu.
csrss_exe_process_2
  • Saldırgan sistemde bir web sunucu başlatıldı.  Hedef sistemde bulunan certutil.exe aracılığıyla zararlı process dosyası hedefe yüklendi.  
zararli_process
  • Yine mevcut zafiyet sömürülerek zararlı process dosyası tetiklendi.
zararli_process_2

Zararlı process dosyasının tetiklenmesinden sonra, görünürde oldukça legal olan zararlı csrss.exe çalışmaya başladı.

zararli_process_3

Zararlı csrss.exe’nin çalışmaya başlamasıyla oluşan 4688 Event ID’li Windows Security Log’unda ise, log detayında bulunan Security ID, Process Name, Parent Process gibi verilerin her biri processin legal olup olmadığına dair kanıt sunuyor.

zararli_csrss_exe

Aşağıdaki gibi bir siem korelasyon kuralı örneği ile de bu tekniklerle gerçekleştirilen bir atağın tespiti yapılabilir. Benzer use-case diğer Windows sistem processleri için de uyarlanabilir.

& AND

  • Windows Security Log Event ID = 4688
  • Process Name contains csrss.exe
  • OR
    • Creator Security ID != SYSTEM
    • Image Path != “C:\Windows\System32\”
    • Parent Process Name != “C:\Windows\System32\smss.exe”

 

Burcu Demiralp |

13.04.2021

Yorumlar

Bediha ŞAHİN
13.04.2021 - 06:29

Başarılı bir çalışma olmuş emeğinize sağlık 🌠

Kemal Altunkaynak
17.04.2021 - 04:23

Çok faydalı bir paylaşım gerçekten. Ellerinize sağlık.

Büşra
20.04.2021 - 02:46

Keyifli bir okumaydı, tebrikler. 👏 Yazı dizisinin devamını merakla bekliyoruz. 🙂

stevecarel
13.01.2022 - 12:35

 Thanks for this amazing post. If you are smoker and you have some pain yin your chest or anywhere you can go with these cbd cigarettes. These cigarettes help you in your pain relief and not affect your lungs.

Sam
13.01.2022 - 02:06

 You were amazing. This content look quite good. There is the best book publishing house in usa is Mermaid Publishers. Mermaid is quite famous in your town. they are offer you their best publication services in very affordable rates.

marcus martinez
26.01.2022 - 07:02

this is really interesting! makes me read more like mold removal miami page that i used to open! so cool!

William Broshevsky
26.01.2022 - 07:22

It still amazes me how Windows come up with these ideas. The team behind this is amazing just like the team in water damage brooklyn who has an exceptional team!

igansio mistuba
26.01.2022 - 07:40

I seriously learned a lot from this! This is an very detailed, much needed information that I need. I can maybe apply this in iron works brooklyn system.

shamrez
03.02.2022 - 07:01

Hey thanks for adding up the post, I have been working as a content writer at Affordable Skin care organic since very long and we are looking for any content writer for some bloggers and writers on board. Can I get any applications from here? If any profiles matches t my requirements do let me know in the comments. 

Rosa Anderson
08.02.2022 - 01:02

Impressive post !! In future I will gather more knowledgeable date through this website. Please write quality words on different categories like technologies and innovation or yellowstone quilted jacket  . I will be waiting to read it.  

sandra Oscar
08.02.2022 - 08:04

I enrolled in a quantum physics course. It was obvious. We called later, and the teacher was able to Wikipedia writing services distinguish who was missing from the group... it was incredible.

marcus taledo
09.02.2022 - 06:27

So interesting! Now I want to know more about this! tile installers miami thank you so much for sharing this with us!

domnick brusco
09.02.2022 - 07:44

this is so detailed. brooklyn dumpster rental thank you so much for sharing this with us!

mervan dincer
08.04.2022 - 04:06
Harika bir çalışma başarılarının devamını dilerim. iç mimar