Malware Hunting using Procmon and Procexp
Malware testleri yaptΔ±ΔΔ±m bir sanal makinamda bir conhost.exe process'i sΓΌrekli olarak %50 civarlarΔ±nda CPU tΓΌkettiΔini ve memory'den de kullanmasa dahi yaklaΕΔ±k 2.5 GB kadar yer allocate ettiΔini fark ettim.
Conhost.exe'nin temel gΓΆrevi, komut satΔ±rΔ± penceresinin gΓΆrΓΌnΓΌmΓΌnΓΌ ve iΕlevselliΔini saΔlamaktΔ±r. Bu, pencerenin boyutunu, rengini ve konumunu kontrol etmeyi, metin ve grafiklerin gΓΆrΓΌntΓΌlenmesini ve kullanΔ±cΔ± giriΕinin iΕlenmesini iΓ§erir.
Ancak burada sorun Εu ki, bu process'i kill ettikten hemen sonra tekrar ayaΔa kalkmaktadΔ±r.
Bu process'i kapattΔ±kΓ§a tekrardan ayaΔa kalkmasΔ±nΔ±n sebebi, bunu aslΔ±nda baΕka bir process'in yapΔ±yor olmasΔ±. Bu yΓΌzden Bu process'in parent'ini bulmak iΓ§in ΓΆzelliklerine bakmayΔ± deneyelim.
DevamΔ±nda herhangi bir zararlΔ± IP veya domain ile bir baΔlantΔ± kurup kurmadΔ±ΔΔ±nΔ± anlamak iΓ§in TCP/IP sekmesine gidelim.
IP ve Domaini kontrol ettiΔimizde IP adresinin bir adet vendorda zararlΔ± olarak etiketlendiΔi;
Domainin ise reputation skoru'nun 98.9 olduΔunu gΓΆrmekteyiz.
Δ°ncelemelere devam ettiΔimizde conhost.exe'nin parent process'inin gΓΆzΓΌkmemekte olduΔu ancak process id'sinin yer aldΔ±ΔΔ±nΔ± gΓΆrebilmekteyiz. Parent'in process id'sini kontrol ettiΔimizde ise o da process explorer'de yer almamaktadΔ±r.
Conhost.exe'yi hangi process'in ayaΔa kaldΔ±rdΔ±ΔΔ±nΔ± anlamak iΓ§in procmon kullanabilir. YapmamΔ±z gereken Εey ise procmon baΕlatmak ve conhost.exe'yΔ± kill ettikten sonra procmon'u tekrar durdurmaktΔ±r.
Procmon logunu durdurmamΔ±zΔ±n ardΔ±ndan filtre bΓΆlΓΌmΓΌne gidip yeni oluΕan conhost.exe'nin process id'sini filtreye ekleyelim.
Filtreyi ekledikten sonra yeni conhost.exe process'inin baΕlama anΔ±ndan itibaren ne gibi aktivitelerde bulunduΔunun bir kΔ±smΔ±nΔ± gΓΆrebilmekteyiz.
Tekrardan conhost.exe'ye Γ§ift tΔ±klamamΔ±zΔ±n ardΔ±ndan parent process'inin ID'sinin 1592 olduΔunu gΓΆrΓΌyoruz. Procmon'da PID filtresi olarak 1592 ID'sini girdiΔimizde conhost.exe'yi baΕlatan process'in ne olduΔunu gΓΆrebiliyoruz.
Process'in nerede olduΔunu bulabilmek iΓ§in process'e Γ§ift tΔ±klayΔ±p ΓΆzelliklerine bakalΔ±m.
Δ°lgili path'e gidip dosyanΔ±n hash'ini virustotal'e sorduΔumuzda ise dosyanΔ±n 47 ΓΌretici tarafΔ±ndan malicious olarak flag'lendiΔini gΓΆrmekteyiz.
ArdΔ±ndan ilgili dosyayΔ± sildiΔimizde ve process explorer'e baktΔ±ΔΔ±mΔ±zda conhost.exe'nin tekrardan ayaΔa kalktΔ±ΔΔ±nΔ± gΓΆrΓΌyoruz.
ArdΔ±ndan sildiΔimiz malicious dosyaya baktΔ±ΔΔ±mΔ±zda tekrardan oluΕturulduΔunu gΓΆrΓΌyoruz.
ArdΔ±ndan malicious dosyayΔ± hangi process'in oluΕturduΔunu gΓΆrmek adΔ±na filtremizi deΔiΕtirdik.
Procmon'u tekrar yakaladΔ±ΔΔ±mΔ±zda malicious dosyayΔ± da baΕka bir conhost.exe process'inin oluΕturduΔunu gΓΆrmekteyiz.
ID'si 3484 olan conhost.exe process'ini kill ettiΔimizde ise tekrardan ilgili malicious dosyanΔ±n tekrar oluΕturulmadΔ±ΔΔ±nΔ± ve dolayΔ±sΔ±yla da sistem kaynaklarΔ±nΔ± tΓΌketen conhost.exe'nin de tekrar oluΕturulmadΔ±ΔΔ±nΔ± gΓΆrmΓΌΕ olduk.
Last updated