盘点RUNDLL32.EXE的多防DDoS种滥用方式及检测特征-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 盘点RUNDLL32.EXE的多防DDoS种滥用方式及检测特征

盘点RUNDLL32.EXE的多防DDoS种滥用方式及检测特征

小墨安全管家 2020-10-18 12:25 CC防护 89 ℃
DDoS防御

动态链接库(DLL)是一具模块,其中包含能够由另一具模块(应用程序或DLL)使用的函数和数据。

我们能够经过rundll32.exe有用程序访咨询和请求此信息,如下所示。

我们始终要检查DLL的调用位置。例如,假如是从%temp%调用kernel32.dll,这种事情显然是恶意的。此外,我们还需要在VirusTotal如此的站点上检查其哈希值。

https://pentestlab.blog/2017/05/23/applocker-bypass-rundll32/

实际上,rundll32.exe实例能够使用mshtml.dll和javascript关键词来运行HTML或JavaScript代码。

假如大伙儿想了解有关CPL以及恶意软件怎么滥用的,能够阅读这篇趋势科技对CPL恶意软件的研究报告( https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cpl-malware.pdf )。

\Windows\SysWOW64\rundll32.exe(64位系统上的32位版本)

C:\WINDOWS\System32\rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie < Host > < Share > 

0x09 总结

也正因这样,恶意软件作者通常会编写恶意软件,摹仿合法的Windows进程。所以,我们大概会看到恶意软件伪装成svchost.exe、rundll32.exe或lsass.exe进程,攻击者利用的算是大多数Windows用户大概都不清晰这些系统进程在正常事情下的行为特征。

CPL即Control Panel Items(操纵面板选项),是操纵面板所提供功能对应的程序,或者换而言之,它们是导出CPIApplet函数的DLL。

C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\main.cpl,@0,1 

0x04 SHELL32.DLL – “Control_RunDLL”、“Control_RunDLLAsUser”和操纵面板程序

rundll32.exe可执行文件能够是子进程,也能够是父进程,具体要取决于执行的上下文。为了确定一具rundll32.exe实例是否属于恶意,我们需要确认几件事。首先,需要确认启动它的路径,其次是命令行。

https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/

能够经过下面的资源,了解这种技术的更详细信息:

0x00 前言

0x03 SHELL32.DLL – “OpenAs_RunDLL”

例如,假如我们要更改计算机的日期和时刻,能够从操纵面板启动对应的applet。

盘点RUNDLL32.EXE的多种滥用方式及检测特征

C:\Windows\system32\svchost.exe -k LocalService -p -s WebClient 

盘点RUNDLL32.EXE的多防DDoS种滥用方式及检测特征

类似Emotet如此的恶意软件在此前基本利用了这种技术。所以,我们始终需要分析这类命令行中包含的主机,并确保全部基本上合法的。

rundll32

至于rundll32.exe实例的命令行,彻底取决于要运行的内容,例如CPL文件、DLL安装等等。

0x05 操纵面板选项(.CPL)

假如我们在日志中看到以下内容,或者发觉有进程使用了下面的命令行参数运行:

接下来,我们来看几个例子。

Rundll32.exe还能够执行DLL中的特定函数。例如,当挑选一具文件并右键单击时,将会显示出一具上下文菜单,其中包含多个选项。那个地点的一具选项是“OpenWith”(打开方式)。在点击后,将会浮上一具弹出窗口,能够从系统上安装的应用程序中举行挑选。

以下是使用rundll32.exe的最差不多语法:

我们发觉与shell32.dll一起使用的另一具常见函数是Control_RunDLL或Control_RunDLLAsUser。这两个函数用于运行.CPL文件或操纵面板选项。

C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL < file_path > 

[3] https://www.hexacorn.com/blog/2020/02/13/run-lola-bin-run/

此前,我们讨论过svchost.exe进程及其命令行选项。在这篇文章中,我们将深入挖掘rundll32.exe,以期对其有所了解。

[6] https://isc.sans.edu/forums/diary/Lets+Trade+You+Read+My+Email+Ill+Read+Your+Password/24062/

在其差不多形式中,rundll32.exe将仅执行一具DLL,所以,假如我们看到了rundll32.exe实例,首先要检查被调用的DLL的合法性。

0x06 DEVCLNT.DLL – “DavSetCookie”(Web Dav客户端)

实际上,在此过程的背后,是使用shell32.dll和OpenAs_RunDL函数启动rundll32.exe有用程序。

当使用file://协议时,不管是在Word文件中,依旧经过共享窗口,有时(假如SMB被禁用)会使用WebDav客户端来请求这些文件。在此刻,会经过rundll32.exe有用程序发出请求。

[1] https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/

Rundll32.exe实例有一具神秘的命令行,大概会大量出如今日志中,其格式如下。

0x01 对于RUNDLL32.EXE

.CPL文件能够包含一具applet索引能够引用的多个applet,每个applet能够包含一具选项卡索引能够引用的多个选项卡。

其他进程也能够使用该函数启动rundll32.exe。例如,当运行inetcpl.cpl举行代理或网络配置时,rundll32.exe的父进程有大概是Google Chrome、MSGEDGE或IE。

合法的RUNDLL32.EXE进程始终位于:

C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\timedate.cpl 

\Windows\System32\rundll32.exe

[4] https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cpl-malware.pdf

我从未见过这种方式的任何一次合法使用。所以,一旦我们在日志中发觉了这类使用想法,就应该即将举行应急排查。

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication < HTML Code > 

我强烈推举大伙儿阅读@bohops的文章,以详细了解这种技术。在hexacorn的博客中,详细介绍了“-localserver”的变体。

假如大伙儿有任何反馈或建议,欢迎经过Twitter @nas_bench与我联系。


DDoS防御

当前位置:主页 > CC防护 > 盘点RUNDLL32.EXE的多防DDoS种滥用方式及检测特征

猜你喜欢

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119