CSRSS.exe, istemci/sunucu alt sistem çalıştırma sistemidir.
İşlemleri ve iş parçacıklarını yönetmenin yanı sıra Windows API’nin diğer işlemler için de kullanılabilir olmasını sağlamaktan sorumludur. Ayrıca sürücü harflerinin eşleştirilmesinden, geçici dosyaların oluşturulmasından ve kapatma işleminden de sorumludur.
Oturum 0 ve 1 içerisinde çalışmaktadır.
Yeni oluşturulan her kullanıcı oturumu için kullanılabilirdir.
Tehdit Avcılığı İp Uçları:
Tehdit aktörleri, kötü amaçlı yazılımlarını csrss.exe gibi görünecek şekilde gizleyebilirler, csrss.exe olarak adlandırabilirler, ancak yanlış yazılma olması gerekecektir.
Örnek olarak, “cssrs.exe, cssrss.exe veya csrsss.exe” verilebilir.
Windows sistemlerde genellikle iki “csrss.exe” işlemi görüleceği ve CSRSS.exe’nin C:\Windows\System32 dizininde bulunması gerekmektedir. Bu dizin içerisinde bulunmuyor ise bilgisayar içerisinde kötü amaçlı işlem gerçekleştirebilecek bir tehditin olduğu unutulmamalıdır.
Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.
Kaynak: SANS Digital Forensics Posteri