SMSS.EXE, oturum yönetici olarak bilinmektedir. Sorumluluğu ise yeni oturumlar oluşturmaktır.
Oturum 0, crss.exe ve wininit.exe’yi başlatır. (İşletim Sistemi Servisleri)
Oturum 1, crss.exe ve winlogon.exe’yi başlatır. (Kullanıcı Oturumu)
İşlem ağacında 1 örnek (Oturum 0) göreceksiniz. Diğer oturumları oluşturmak için kullanılan smss.exe’nin alt örnekleri, kendisini bu yeni oturuma kopyalayarak, kendi kendine sona erecektir.
Kayıt defterini ve bilinen DLL’leri, diğer şeylerin yanı sıra paylaşılan bellek konumlarına yükler.
Tehdit Avcılığı İpuçları:
Oturum 0 ve 1 normal durumlardır. Paylaşılan bilgisayarlarda RDP oturumları ve Hızlı Kullanıcı Değiştirme ile ek oturumlar oluşturulabilir. Bu durum sizin ortamınız için geçerli değil ise, ek oturumları kontrol etmek gerekmektedir.
SMSS.exe için sadece bir örneğin çalışıyor olması gerektiği unutulmamalıdır.
Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.
Kaynak: SANS Digital Forensics Posteri