csrss.exe-Anomalien, ist dies ein Rootkit?

3008
Craig Cummings

Ich sehe in einigen Systemen, die ich unterstütze, eine merkwürdige Anomalie.

GMER kennzeichnet den Thread cdd.dll in csrss.exe, und wenn ich Process Explorer mit erhöhten Administratorrechten ausführe, bin ich:

  1. geladene DLLs können in keinem der beiden csrss.exe-Prozesse angezeigt werden
  2. Aktuelle Thread-Startadressen können nicht angezeigt werden (anstelle von winsrv.DLL und CSRSRV.dll sehe ich entweder 0x0 oder! RtlUserThreadStart
  3. Der Stapel von csrss.exe-Threads kann nicht angezeigt werden
  4. Kein Thread kann in csrss.exe suspendiert oder beendet werden
  5. Zeichenfolgen im Speicher zeigen "Fehler beim Öffnen"

Foto

Laut der 6. Ausgabe von Windows Internals würde dies in Process Explorer angezeigt werden, wenn versucht wird, die Threads von "protected process" anzuzeigen.

... Der Prozess-Explorer kann die Startadresse des Win32-Threads nicht anzeigen und zeigt stattdessen den Standard-Thread-Startwrapper in Ntdll.dll an. Wenn Sie versuchen, auf die Stack-Schaltfläche zu klicken, wird eine Fehlermeldung angezeigt, da Process Explorer den virtuellen Speicher innerhalb des geschützten Prozesses lesen muss. Dies ist jedoch nicht möglich.

Csrss.exe ist jedoch kein geschützter Prozess. Auch wenn es so wäre, kann man normalerweise "geschützte Prozesse" aussetzen, was in diesem Fall nicht möglich ist.

Zum Nachschlagen sieht es normalerweise in Process Explorer aus ... aus einem neu installierten System.

csrss.exe-Anomalien, ist dies ein Rootkit?

Kein anderes Tool, das ich ausgeführt habe, entdeckt etwas Bösartiges. Process Hacker kann jedoch auf die Threads zugreifen und sie sehen so aus, wie ich es erwartet hätte ...

csrss.exe-Anomalien, ist dies ein Rootkit?

2 Dinge, die ich weiß, denke ich:

  1. Dies ist ein anormales Verhalten (die meisten anderen Systeme, die ich mir anschaue, geben Elevated Admin vollen Zugriff auf csrss.exe-Threads, -Strings usw.).
  2. Dies scheint konsistent mit Rootkit-ähnlichem Versteckverhalten zu sein. Gemäß diesem Zitat aus dem Buch "Malware Analyst's Cookbook":

Wenn ein Rootkit einen zuverlässigen Weg zum Ausblenden oder Verhindern des Zugriffs auf csrss.exe findet, ohne dass es zu einer Systeminstabilität kommt, kann dies zu einem Problem führen. In der Tat stellte der Autor von CsrWalker fest, dass einige Hacker versucht haben, die Funktionsweise von CsrWalker zu verhindern, indem sie ZwOpenProcess einhaken und verhindern, dass das Erkennungstool den Speicher von csrss.exe liest.

Kann jemand erklären, warum ein Administrator, der PE mit erhöhten Rechten ausführt, diese Anomalien sieht, abgesehen von einem unbekannten Rootkit?

7
Als Ausgangspunkt bietet file.net einige nützliche Informationen zu dieser Datei und anderen regulären Windows-Dateien. [file.net] (http://www.file.net/prozess/csrss.exe.html) vor 9 Jahren 0
Werfen Sie einen Blick auf [this] (http://superuser.com/questions/833914/how-to-determine-what-isrunning-in-dllhost-exe-thats-missing-processid-switch) Super User-Frage Twisty Impersonator vor 9 Jahren 0
Danke Icaro ... Ich hatte nicht darüber nachgedacht, die Dateigröße zu bestätigen, aber es scheint, als würde der richtige Ordner ausgehen ... C: \ Windows \ system32. Ich überprüfe die Dateigröße. Craig Cummings vor 9 Jahren 0
Hallo Twisty ... Ich habe einige der in diesem Artikel genannten Tools ausprobiert, darunter auch einige Offline-Scanner, die von USB gestartet wurden. Die einzigen Tools, die mir etwas Verdächtiges anzeigen, sind GMER und Process Explorer. Die Anomalien bleiben in SMWN bestehen. Im Gegensatz zur SuperUser-Frage, die Sie gepostet haben, werden keine TCP / IP-Verbindungen angezeigt. Ich wünschte, ich hätte es getan, weil ein schnelles whois meinen Verdacht leicht bestätigen würde. Craig Cummings vor 9 Jahren 0
Welches Betriebssystem ist das? Eine Idee, warum der erste CSRSS.EXE-Prozess am 1.5.15 und der andere 12.10.14 gestartet wurde? Seltsam finde ich, dass die Instanz vom 10. Dezember nur 29 Kontextschalter hat. Wenn es nicht * alles * im Kernel tut, scheint das für einen Prozess, der fast zwei Monate dauert, niedrig zu sein. Twisty Impersonator vor 9 Jahren 0
Beeindruckend. Ich hatte das noch nicht einmal bemerkt, aber das scheint definitiv seltsam zu sein. Dies ist ein Windows 8.1-System. Zum Vergleich habe ich eine Neuinstallation von 8.1 in einer VM, und das Startdatum und die Startzeit für die 2 csrss.exe-Prozesse sind auf die Minute genau gleich. Die Kontextwechsel in meiner VM sind ein wenig mehr mit dem, was ich auf dem verdächtigen System sehe. Die csrss.exe, die den Thread cdd.dll enthält, hat 22.550 und zählt. Der andere hat bisher nur fünf, aber er läuft erst seit ungefähr einer Stunde. Vielen Dank, dass Sie auf eine weitere unerklärliche Anomalie hingewiesen haben. :-) Irgendwelche Ideen / Empfehlungen? Craig Cummings vor 9 Jahren 0
Bei näherer Betrachtung ... sind diese Startzeiten (und Kontextwechsel) für die einzelnen Threads ... nicht für die Prozesse, und es ist normal, dass Threads innerhalb eines laufenden Prozesses zerstört und erstellt werden. Ich bin mir nicht sicher, ob diese Unterschiede etwas bedeuten oder nicht ... Craig Cummings vor 9 Jahren 0
Ah, gute Beobachtung. Was sind die Startzeiten der Prozesse selbst und wie korrelieren diese Zeiten mit der Systemstartzeit? Twisty Impersonator vor 9 Jahren 0
Die CDD.DLL ist der kanonische Bildschirmtreiber, der laut [MS Security Bulletin] (https://technet.microsoft.com/de-de/library/security/ms10-043.aspx) * von * verwendet wird Desktop-Komposition zum Kombinieren von GDI- und DirectX-Zeichnungen CDD emuliert die Benutzeroberfläche eines Windows XP-Anzeigetreibers für Interaktionen mit der Win32k-GDI-Grafik-Engine. "* Meine Frage: Wie greifen Sie auf dieses System zu? Über die physische Konsole oder eine andere Methode? Twisty Impersonator vor 9 Jahren 0
Ja, über die physische Konsole, mit Standardbenutzer angemeldet (PE als Administrator ausführen) oder mit vollständigen Administratorrechten angemeldet. So oder so, die gleichen Ergebnisse. Es bleibt auch in SMWN bestehen. Diese Systeme sind für einen neuen Kunden von mir, und ich habe noch keinen Fernzugriff eingerichtet. Ich habe vor, beim nächsten Mal ein Image zu erstellen, damit ich es in eine VM laden und ein bisschen mehr darauf werfen kann. Aktualisiere die Frage, sobald ich mir die Startzeiten des Prozesses angesehen habe. Craig Cummings vor 9 Jahren 0
Haben Sie AV oder Software wie Digital Guardian installiert? Diese neigen dazu, sich auf Kernel-Ebene zusammenzuschließen und den Zugriff auf Dinge wie Tötungsprozesse, das Lesen bestimmter Dateien oder die Registrierung zu blockieren, dh sie sind legitim, verhalten sich jedoch wie Rootkits. Ganesh R. vor 9 Jahren 0

2 Antworten auf die Frage

1
Robert Wm Ruedisueli

CSRSS ist ein Microsoft-Standarddienst: https://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem

Es handelt sich im Grunde genommen um eine Zwischenfunktion, die zwischen dem Benutzerraum und dem Kernelbereich liegt.

Mit der Berechtigung auf Kernel-Ebene können Sie nicht über ein normales Userspace-Programm auf die Speicherzuordnung zugreifen. Dies ist ein Sicherheitsmechanismus, um zu verhindern, dass schädliche Programme die Speicherzuordnung von Programmen mit Zugriff auf den Kernelspace verwenden, z. B. csrss, um den Kernelspace-Speicher zu durchsuchen und nach Möglichkeiten zu suchen, um eine Eskalation der Autorität zu erreichen.

Es gibt einen weit verbreiteten Schwindel, dass es sich um einen Virus oder Trojaner handelt. Dieser Scherz wird von vielen skrupellosen Websites verwendet, die versuchen, Trojaner, Spyware oder Adware herunterzuladen, um sie zu entfernen. Laden Sie NIEMALS System-Scanner oder ausführbare Dateien von einer nicht vertrauenswürdigen Website herunter.

0
yoututs.tv

Zu Ihrer Information (wie hier erwähnt ):

csrss.exe ist ein Prozess, der als Trojaner registriert ist. Mit diesem Trojaner können Angreifer von entfernten Standorten aus auf Ihren Computer zugreifen, Kennwörter stehlen, Internet-Banking und persönliche Daten verwenden. Dieser Vorgang stellt ein Sicherheitsrisiko dar und sollte von Ihrem System entfernt werden. Wir empfehlen Ihnen dringend, einen KOSTENLOSEN Registry-Scan durchzuführen, um csrss.exe-Fehler zu identifizieren.

Benötigt mehr Informationen. Dies hängt sehr stark von der Identifizierung des richtigen Prozesses ab. Wird das Löschen eines falschen Eintrags (oder von Verweisen darauf) auf der Grundlage der obigen Angaben durchgeführt, führt dies wahrscheinlich zu einem Absturz und einer Boot-Schleife. ǝɲǝɲbρɯͽ vor 9 Jahren 1

Verwandte Probleme