Siber Güvenlik
Blue Team Bakış Açısıyla Windows Sistem Processleri 1: csrss.exe
Saldırganların ele geçirdikleri sistemlerde, kendi zararlı processlerini gizlemek, savunma mekanizmalarını atlatmak için kullandıkları yöntemlerden biri de Windows sistem processlerini taklit etmektir. Örneğin; C:\Windows\System32 dizini yerine C:\Windows\Temp dizininden başlatılan ve svchost.exe, lsass.exe gibi isimler verilerek legal processlere benzetilmeye çalışılan bir sahte process gibi.

Bu yöntemlerin kullanıldığı bir siber olayda, zararlı processin tespiti için taklit edilen processin normal şartlarda nasıl çalıştığını bilmek önemlidir. Yani oluşan anomalinin tespiti için normal olan bilinmelidir.
Yazı dizisi şeklinde devam ettireceğimiz bu blog yazılarında öncelikle Windows sistem processlerinin normal şartlarda nasıl çalıştığı (İlgili processin hangi dizinden ve hangi process tarafından başlatıldığı, hangi kullanıcı haklarıyla çalıştığı, processin ne zaman başladığı vb.), ardından sistemlerimizde bulunabilecek zararlı processlerin nasıl tespit edilebileceği ele alınacaktır. İlk olarak inceleyeceğimiz process: csrss.exe

Windows işletim sistemi için önemli processlerden biri olan csrss.exe thread ve processlerin oluşturulması ve silinmesinden sorumludur. Windows 7 ve önceki işletim sistemlerinde ek olarak komut satırı aracılığıyla yürütülen uygulamaların/komutların çalıştırılmasını sağlamaktaydı.
C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir. Aynı zamanda çalışan 2 veya daha fazla csrss.exe olabilmektedir. Bunlardan ilk ikisi işletim sisteminin başlatılması esnasında Session 0 ve Session 1 için oluşturulmaktadır. Ek oturumlar (RDP, User Switching vb.) açıldığında yeni csrss.exe başlatılmaktadır. Çalışan csrss.exe processlerinin tamamı NT AUTHORITY\SYSTEM kullanıcısı haklarıyla çalışmaktadır.
Çalışan csrss.exe processlerine dair ayrıntılar Process Hacker gibi process ağacı inceleme araçlarıyla görüntülenebilmektedir.

Bununla birlikte csrss.exe çalışmaya başladığında sistemde oluşan 4688 Event ID’li Windows Security Logu aşağıdaki gibidir.
Yukarıda bahsedilmiş olduğu gibi, SYSTEM haklarıyla çalışan csrss.exe C:\Windows\System32\ dizininden başlatılmış olup, parent processi smss.exe’dir.

Zararlı csrss.exe Processinin Tespiti:
Yazının bu bölümünde csrss.exe’nin saldırganlar tarafından nasıl kullanılabildiğine dair bir atak simülasyonu gerçekleştirecek ve zararlı processin sistemlerimizde nasıl tespit edileceğine dair use-case örneği paylaşılacaktır.
HFS 2.3 (HTTP File Server) dosya sunucusunda bulunan “Remote Command Execution” zafiyeti sömürülerek hedef sistemde uzaktan komut çalıştırılacak ve zararlı csrss.exe processi sisteme yüklenerek tetiklenecektir. (https://www.exploit-db.com/exploits/39161)
- Hedef sisteme zafiyetli dosya sunucusunun kurulumu ve zafiyetin exploit edilebildiğine dair aşağıdaki gibi bir test yapıldı.

* Hedef sisteme ait IP adresi 172.16.198.2, saldırgan sisteme ait IP adresi 172.16.198.4.
- Ardından hedef sisteme gönderilmek üzere msfvenom ile zararlı csrss.exe processi oluşturuldu.

- Saldırgan sistemde bir web sunucu başlatıldı. Hedef sistemde bulunan certutil.exe aracılığıyla zararlı process dosyası hedefe yüklendi.

- Yine mevcut zafiyet sömürülerek zararlı process dosyası tetiklendi.

Zararlı process dosyasının tetiklenmesinden sonra, görünürde oldukça legal olan zararlı csrss.exe çalışmaya başladı.

Zararlı csrss.exe’nin çalışmaya başlamasıyla oluşan 4688 Event ID’li Windows Security Log’unda ise, log detayında bulunan Security ID, Process Name, Parent Process gibi verilerin her biri processin legal olup olmadığına dair kanıt sunuyor.

Aşağıdaki gibi bir siem korelasyon kuralı örneği ile de bu tekniklerle gerçekleştirilen bir atağın tespiti yapılabilir. Benzer use-case diğer Windows sistem processleri için de uyarlanabilir.
& AND
- Windows Security Log Event ID = 4688
- Process Name contains csrss.exe
- ∥ OR
- Creator Security ID != SYSTEM
- Image Path != “C:\Windows\System32\”
- Parent Process Name != “C:\Windows\System32\smss.exe”

13.04.2021
Yorumlar
Çok faydalı bir paylaşım gerçekten. Ellerinize sağlık.
Keyifli bir okumaydı, tebrikler. 👏 Yazı dizisinin devamını merakla bekliyoruz. 🙂
Thanks for this amazing post. If you are smoker and you have some pain yin your chest or anywhere you can go with these cbd cigarettes. These cigarettes help you in your pain relief and not affect your lungs.
You were amazing. This content look quite good. There is the best book publishing house in usa is Mermaid Publishers. Mermaid is quite famous in your town. they are offer you their best publication services in very affordable rates.
this is really interesting! makes me read more like mold removal miami page that i used to open! so cool!
It still amazes me how Windows come up with these ideas. The team behind this is amazing just like the team in water damage brooklyn who has an exceptional team!
I seriously learned a lot from this! This is an very detailed, much needed information that I need. I can maybe apply this in iron works brooklyn system.
Hey thanks for adding up the post, I have been working as a content writer at Affordable Skin care organic since very long and we are looking for any content writer for some bloggers and writers on board. Can I get any applications from here? If any profiles matches t my requirements do let me know in the comments.
Impressive post !! In future I will gather more knowledgeable date through this website. Please write quality words on different categories like technologies and innovation or yellowstone quilted jacket . I will be waiting to read it.
I enrolled in a quantum physics course. It was obvious. We called later, and the teacher was able to Wikipedia writing services distinguish who was missing from the group... it was incredible.
So interesting! Now I want to know more about this! tile installers miami thank you so much for sharing this with us!
windows have some awesome now. tile installation miami gardens keep doing your thing!
this is so detailed. brooklyn dumpster rental thank you so much for sharing this with us!
Harika bir çalışma başarılarının devamını dilerim. iç mimar
Başarılı bir çalışma olmuş emeğinize sağlık 🌠