Pillole di #MalwareAnalysis
I processi #WinLogon.exe e #Userinit.exe
Il processo Winlogon gestisce il login interattivo dell’utente e rimane sempre in ascolo della SAS (secure attention sequence) che è la famosissima sequenza di tasti CTRL-ALT-CANC
Quando viene rilevata lancia il processo #LogonUI.exe che cattura le credenziali Login e Password e le invia al processo #LSASS.exe (Local Security Authentication Service) per la generazione del Token che definisce i diritti utente.
A questo punto LogonUI.exe si stoppa ma il token generato viene utilizzato da Winlogon.exe per inizializzare il processo utente. Ora viene chiamato in causa proprio UserInit.exe che ha il compito di inizializzare lo user environment e lanciare la shell di windows Explorer.exe. Dopo aver eseguito il suo compito, proprio come ha fatto LogonUI.exe, il processo Userinit.exe si stoppa lasciando la shell di windows (Explorer.exe) orfana.
Userinit viene spesso presa di mira dal malware prova a creare processi con nomi simili, ma dovete ricordare che questo processo è attivo solo all’inizializzazione dell’ambiente e una volta lanciato Explorer.exe cessa di esistere.
Quindi esplorando i vostri servizi NON dovete trovare nessun processo attivo che abbia questo nome.

Tweet