16.8 C
İstanbul
15/04/2024
Image default
Tehdit Avcılığı

Tehdit Avcılığında Windows Prosesleri – Winlogon.exe

WINLOGON.exe, Windows Oturum Açma işlemidir ve kullanıcı oturum açma/kapatma işlemlerinden sorumludur.

Kullanıcı adı ve parola için “LogonUI.exe” isimli işlemi başlatır ve kimlik bilgilerini AD (Active Directory) veya yerel SAM aracılığı ile doğrulanan LSASS.exe işlemine aktarır.

Winlogon.exe aşağıdaki işlemleri gerçekleştirmektedir.

  • Software\Microsoft\Windows\NT\CurrentVersion\Winlogon aracılığı ile USERINIT.exe işlemini yüklemektedir.

Bu işlemin ardından ise;

  • NTUSER.dat’ı HKCU’ya yükler ve userinit.exe aracılığı ile kullanıcı kabuğunu (Shell) başlatır.
  • HKCU: Sistem tarafından kullanılan ve önceden tanımlanmış anahtardır. (HKEY_CURRENT_USER) Şu anda oturum açmış olan kullanıcıya ait yapılanda bilgilerinin kökünü içermektedir. Örnek olarak kullanıcı klasörleri ve denetim masası ayarları bu bölümde saklanmaktadır. Detaylı bilgiye ulaşmak isteyenler link üzerinden ulaşabilir.
  • USERINIT işlemi kullanıcı ortamını başlatarak, oturum açma komut dosyalarını ve GPO’yu (Group Policy) çalıştırmaktadır.

Winlogon.exe çeşitli kritik görevlerden de sorumludur. Bazı örnekler aşağıdaki gibidir.

  • Bilgisayarın kilitlenmesi veya bir ekran koruyucu çalıştırılma işleminden sorumludur. Fare ve klavye etkinliğini izlemekten ve belirli bir süre boyunca kullanılmadığında ekranı kilitlemek ve/veya ekran koruyucu çalıştırmaktan sorumludur.
  • Kullanıcıların oturum açmadan önce basmaları gereken bir tuş kombinasyonu bulunmaktadır ve bu Secure Attention Sequence veya Secure Attention Key olarak adlandırılmaktadır. Genel olarak SAS kısaltması ile kullanılmaktadır. Winlogon işlemi, kullanıcıların güvenli bir şekilde oturum açmasından ve parola hırsızlığının önlenmesi gibi durumlardan da sorumludur.
Resim 1: Winlogon.exe

NOT: LogonUI.exe ve Userinit.exe bu işlemlerin ardından görünmeyecektir fakat mevcut olmaya devam edecektir.

NOT: Winlogon.exe, C:\Windows\System32 altında bulunmaktadır. Bu dizin altında bulunmuyor ise, bilgisayar içerisinde kötü amaçlı işlemler gerçekleştirebilecek bir tehdit olduğu unutulmamalıdır.

Resim 2: SANS Digital Forensics Posteri

Tehdit Avcılığı İpuçları

Bu işlem ile alakalı kötüye kullanım genellikle oturum açma sürecinin farklı bileşenleri ile yapılmaktadır. Kötü amaçlı yazılımlar bazen SHELL kayıt defteri değerini kötüye kullanmaktadır. Bu değerin explorer.exe olması gerekmektedir.

Winlogon.exe ile birlikte çalışan kötü amaçlı yazılım tarafından bir başka kayıt defteri anahtarı olan “USERINIT” de kötüye kullanılmaktadır.

Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.

Kaynak:

Related posts

MITRE ATT&CK Teknikleri ile Tehdit Avcılığı

Barış

Tehdit Avcılığı – Part-1

Serdar H.

Tehdit Avcılığında Windows Prosesleri – System

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası