要做好检测能力,必须得熟悉你的系统环境,只有足够了解正常行为,才能真正找出异常(Anomaly)和威胁(Threat)
在上篇文章中介绍 CS 的一些行为特征时,经常提及 rundll32.exe,哪怕非安全人员,可能对该进程都不陌生
顾名思义,rundll32.exe 可用于执行 DLL 文件,也能调用该文件中的内部函数
它的历史差不多能追溯到 Windows 95,几乎是所有 Windows 操作系统的必需组件,不能轻易地被禁用
攻击者可以借助 rundll32.exe 加载 DLL 文件中的恶意代码,避免像其它 EXE 文件一样直接在进程树中现行
另外,攻击者还可能滥用合法 DLL 文件中的导出函数,比如待会儿就会介绍到的 COMsvcs.dll 和 MiniDump
除了加载 DLL 文件,rundll32.exe 还能通过 RunHtmlApplication 函数执行 JavaScript
正因为这些特性,rundll32.exe 很容易博得攻击者的青睐,在攻击技术流行度中常常名列前茅
对于 rundll32.exe,最简单粗暴的用法当然是直接指定文件名称,执行目标 DLL:
— rundll32.exe <dllname>
当然,在我们日常使用操作系统的过程中,见得最多的可能是通过 rundll32.exe 调用某些 DLL 文件中的特定函数这一行为:
— rundll32.exe <dllname>,<entrypoint> <optional arguments>
譬如,在我们右键点击某文档,选择特定的“打开方式”,然后会弹出个窗口供我们指定用于打开的应用程序,实际上就相当于在后台执行了以下命令:
— C:\Windows\system32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL <file_path>
拿修改 hosts 文件举个例子,通过 WIN R 执行以下命令,即可弹出该选择窗口:
— C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL C:\Windows\System32\drivers\etc\hosts
类似行为在我们的日志中呈现出来通常会是这么个模样:
