T1218.011

Rundll32

توضیحات

مهاجمان از rundll32.exe برای اجرای DLL‌های مخرب استفاده می‌کنند. rundll32 یک باینری قانونی ویندوز است که می‌تواند برای اجرای توابع صادر شده از DLL‌ها استفاده شود. این تکنیک برای دور زدن Application Whitelisting رایج است.

روش‌های شناسایی

نظارت بر اجرای rundll32 با آرگومان‌های غیرعادی. شناسایی rundll32 با DLL‌های از مسیرهای غیرعادی. بررسی توابع فراخوانی شده. تحلیل رفتار rundll32.

روش‌های مقابله

نظارت بر rundll32. پیاده‌سازی Application Whitelisting. استفاده از Attack Surface Reduction Rules. نظارت بر DLL‌های بارگذاری شده. استفاده از EDR.

تکنیک اصلی

T1218System Binary Proxy Execution

اجرای proxy با باینری سیستمی

مهاجمان از باینری‌های امضاشده و مورد اعتماد سیستم برای اجرای payload‌های مخرب استفاده می‌کنند. این تکنیک که به عنوان Living off the Land نیز شناخته می‌شود، از ابزارهایی مانند rundll32، regsvr32، mshta، certutil و سایر ابزارهای سیستمی برای دور زدن Application Whitelisting استفاده می‌کند.

سایر زیرتکنیک‌ها (3)

T1218.003 · CMSTP T1218.005 · Mshta T1218.010 · Regsvr32