当前位置: 首页 > news >正文

dll 调用exe_盘点RUNDLL32.EXE的多种滥用方式及检测特征

news 来源:原创 2024/5/12 8:24:44

b10e37c28aa5aa3ad2f7504ca43a1a13.gif

a8e975051438e41def5045a002b6c45b.png

0x00 前言

在进行威胁狩猎的过程中,如果想要找到恶意软件,首先需要对平台和操作系统具有一定的了解。如果想要甄别合法软件和恶意软件,首先必须明确哪些是合法的。

作为一个具有30多年历史之久的操作系统,由于Windows的复杂性,往往使我们很难实现上面这一点。

也正因如此,恶意软件作者通常会编写恶意软件,模仿合法的Windows进程。因此,我们可能会看到恶意软件伪装成svchost.exe、rundll32.exe或lsass.exe进程,攻击者利用的就是大多数Windows用户可能都不清楚这些系统进程在正常情况下的行为特征。

此前,我们讨论过svchost.exe进程及其命令行选项。在这篇文章中,我们将深入挖掘rundll32.exe,以期对其有所了解。

b1d7b9c54099aeac1c6d107968625764.png

a8e975051438e41def5045a002b6c45b.png

0x01 关于RUNDLL32.EXE

顾名思义,rundll32.exe可执行文件是用于运行DLL(RUN DLL),即运行动态链接库的。

在MSDN中,对DLL的定义如下:

动态链接库(DLL)是一个模块,其中包含可以由另一个模块(应用程序或DLL)使用的函数和数据。

以下是使用rundll32.exe的最基本语法:

rundll32

rundll32.exe可执行文件可以是子进程,也可以是父进程,具体要取决于执行的上下文。为了确定一个rundll32.exe实例是否属于恶意,我们需要确认几件事。首先,需要确认启动它的路径,其次是命令行。

合法的RUNDLL32.EXE进程始终位于:

\Windows\System32\rundll32.exe

\Windows\SysWOW64\rundll32.exe(64位系统上的32位版本)

至于rundll32.exe实例的命令行,完全取决于要运行的内容,例如CPL文件、DLL安装等等。

接下来,我们来看几个例子。

a8e975051438e41def5045a002b6c45b.png

0x02 运行DLL

在其基本形式中,rundll32.exe将仅执行一个DLL,因此,如果我们看到了rundll32.exe实例,首先要检查被调用的DLL的合法性。

我们始终要检查DLL的调用位置。例如,如果是从%temp%调用kernel32.dll,这种情况显然是恶意的。此外,我们还需要在VirusTotal这样的站点上检查其哈希值。

a8e975051438e41def5045a002b6c45b.png

0x03 SHELL32.DLL – “OpenAs_RunDLL”

Rundll32.exe还可以执行DLL中的特定函数。例如,当选择一个文件并右键单击时,将会显示出一个上下文菜单,其中包含多个选项。这里的一个选项是“OpenWith”(打开方式)。在点击后,将会出现一个弹出窗口,可以从系统上安装的应用程序中进行选择。

实际上,在此过程的背后,是使用shell32.dll和OpenAs_RunDL函数启动rundll32.exe实用程序。

C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL < file_path >

这种在DLL中调用特定函数的行为非常普遍,因此我们恐怕无法将所有函数都了解全面。下面的两篇文章详细介绍了一系列rundll32.exe调用和对应的作用。

https://www.tenforums.com/tutorials/77458-rundll32-commands-list-windows-10-a.html

http://chagdali.free.fr/dcs/RunDll.htm

a8e975051438e41def5045a002b6c45b.png

0x04 SHELL32.DLL – “Control_RunDLL”、“Control_RunDLLAsUser”和控制面板程序

0c3da3e5ffae05f4285e3b127f382fd1.png

我们发现与shell32.dll一起使用的另一个常见函数是Control_RunDLL或Control_RunDLLAsUser。这两个函数用于运行.CPL文件或控制面板选项。

例如,如果我们要更改计算机的日期和时间,可以从控制面板启动对应的applet。

3536913540db77354195d899da60037c.png

在后台,Windows实际上是使用以下命令行启动了rundll32.exe实例。

C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\timedate.cpl

除了验证DLL的合法性。在使用Control_RunDLL或Control_RunDLLAsUser函数时,应该始终检查.CPL文件的合法性。

a8e975051438e41def5045a002b6c45b.png

0x05 控制面板选项(.CPL)

CPL即Control Panel Items(控制面板选项),是控制面板所提供功能对应的程序,或者换而言之,它们是导出CPIApplet函数的DLL。

.CPL文件可以包含一个applet索引可以引用的多个applet,每个applet可以包含一个选项卡索引可以引用的多个选项卡。

我们可以通过rundll32.exe实用程序访问和请求此信息,如下所示。

01cfa53d051c3db0b197905f4ee46a25.png

例如,System32文件夹中的main.cpl文件包含两个applet,分别是鼠标和键盘属性。如果我们要在鼠标属性中更改指针,实际的操作如下。

C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\main.cpl,@0,1

如我们所见,我们可以轻松使用恶意版本来替换原始的main.cpl文件,不了解这方面知识的用户很容易注意不到这一点。实际上,这正是恶意软件作者感染计算机的方式。

在正常情况下,使用Control_RunDLL函数的rundll32.exe实例的父进程应该是explorer.exe或者control.exe。

其他进程也可以使用该函数启动rundll32.exe。例如,当运行inetcpl.cpl进行代理或网络配置时,rundll32.exe的父进程有可能是Google Chrome、MSGEDGE或IE。

如果大家想了解有关CPL以及恶意软件如何滥用的,可以阅读这篇趋势科技对CPL恶意软件的研究报告( https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cpl-malware.pdf )。

a8e975051438e41def5045a002b6c45b.png

0x06 DEVCLNT.DLL – “DavSetCookie”(Web Dav客户端)

Rundll32.exe实例有一个神秘的命令行,可能会大量出现在日志中,其格式如下。

C:\WINDOWS\System32\rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie < Host > < Share >

当使用file://协议时,无论是在Word文件中,还是通过共享窗口,有时(如果SMB被禁用)会使用WebDav客户端来请求这些文件。在此时,会通过rundll32.exe实用程序发出请求。

这类请求的父进程是svchost.exe,其中的“-s WebClient”参数并不是必须添加的。

C:\Windows\system32\svchost.exe -k LocalService -p -s WebClient

类似Emotet这样的恶意软件在此前已经利用了这种技术。因此,我们始终需要分析这类命令行中包含的主机,并确保全部都是合法的。

a8e975051438e41def5045a002b6c45b.png

0x07 RUNDLL32.EXE – “-sta”或“-localserver”标志

有一个鲜为人知的命令行参数,就是“-sta”和“-localserver”。二者均可以用于加载恶意注册的COM对象。

如果我们在日志中看到以下内容,或者发现有进程使用了下面的命令行参数运行:

rundll32.exe –localserver < CLSID_GUID >rundll32.exe –sta < CLSID_GUID >

我们就需要验证相应的注册表项\HKEY_CLASSES_ROOT\CLSID\

我强烈推荐大家阅读@bohops的文章,以详细了解这种技术。在hexacorn的博客中,详细介绍了“-localserver”的变体。

https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/

a8e975051438e41def5045a002b6c45b.png

0x08 RUNDLL32.EXE – 执行HTML或JavaScript

攻击者可能会在rundll32.exe中使用的另一个命令行参数是“javascript”标志。

实际上,rundll32.exe实例可以使用mshtml.dll和javascript关键词来运行HTML或JavaScript代码。

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication < HTML Code >

我从未见过这种方式的任何一次合法使用。因此,一旦我们在日志中发现了这类使用方法,就应该立即进行应急排查。

可以通过下面的资源,了解这种技术的更详细信息:

https://pentestlab.blog/2017/05/23/applocker-bypass-rundll32/

https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/

https://lolbas-project.github.io/lolbas/Binaries/Rundll32/

a8e975051438e41def5045a002b6c45b.png

0x09 总结

感谢大家的阅读,希望能通过本篇文章对Rundll32有所了解。

如果大家有任何反馈或建议,欢迎通过Twitter @nas_bench与我联系。

a8e975051438e41def5045a002b6c45b.png

0x0A 参考文章

[1] https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/

[2] https://threathunterplaybook.com/evals/apt29/report.html

[3] https://www.hexacorn.com/blog/2020/02/13/run-lola-bin-run/

[4] https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cpl-malware.pdf

[5] https://support.microsoft.com/en-us/help/149648/description-of-control-panel-cpl-files

[6] https://isc.sans.edu/forums/diary/Lets+Trade+You+Read+My+Email+Ill+Read+Your+Password/24062/

[7] https://blog.didierstevens.com/2017/11/13/webdav-traffic-to-malicious-sites/

参考及来源:https://medium.com/@nasbench/a-deep-dive-into-rundll32-exe-642344b41e90

a057aa2f5839f5a209a14ab932226423.png

57e2466e4a88af8bdcf3cba9fbf05a29.png

相关文章:

  • python安装launcher要选吗_python的launcher用法知识点总结
  • 怎么用geany配置python_Geany中怎么配置python?
  • python判断按键是否按下_python怎样判断字典中的键是否存在
  • elasticsearch_Spring Boot 整合 Elasticsearch
  • java switch支持的数据类型_Java十四天零基础入门-Java关键字
  • flask框架_开发中Django和Flask框架的区别是什么?
  • 无法从命令行或调试器启动服务.必须首先_Emacs 调试秘籍之 GUD 调试器
  • googlenet网络结构_图像处理必读论文之五GoogLeNet-3
  • 编写tcp服务器发送hex格式_恶意程序编写之免杀基础
  • webgis从基础到开发实践_WebGIS开发进阶练手题(二)
  • idea 启动vue 一会自己停了_这 几个 IDEA,调试的骚操作,用了都说爽!
  • java 桌面应用程序_针对初学Java的小伙伴,入门时应该了解的Java基础知识
  • python面向对象思路_Python基础之面向对象的软件开发思路
  • python主要应用于云计算的哪些方面_python在云计算的应用领域
  • python小程序_如何使用 Python 开发微信小程序
  • 深入了解以太坊
  • 《Javascript高级程序设计 (第三版)》第五章 引用类型
  • Android 控件背景颜色处理
  • Centos6.8 使用rpm安装mysql5.7
  • JavaScript设计模式与开发实践系列之策略模式
  • Laravel深入学习6 - 应用体系结构:解耦事件处理器
  • leetcode388. Longest Absolute File Path
  • Linux下的乱码问题
  • Transformer-XL: Unleashing the Potential of Attention Models
  • Vue学习第二天
  • webpack入门学习手记(二)
  • 阿里云爬虫风险管理产品商业化,为云端流量保驾护航
  • 构造函数(constructor)与原型链(prototype)关系
  • 和 || 运算
  • 基于MaxCompute打造轻盈的人人车移动端数据平台
  • 简单实现一个textarea自适应高度
  • 前端_面试
  • 我感觉这是史上最牛的防sql注入方法类
  • 要让cordova项目适配iphoneX + ios11.4,总共要几步?三步
  • 用jQuery怎么做到前后端分离
  • nb
  • 阿里云移动端播放器高级功能介绍
  • 关于Android全面屏虚拟导航栏的适配总结
  • ​​​​​​​​​​​​​​Γ函数
  • ​DB-Engines 12月数据库排名: PostgreSQL有望获得「2020年度数据库」荣誉?
  • #pragma multi_compile #pragma shader_feature
  • $(selector).each()和$.each()的区别
  • (c语言版)滑动窗口 给定一个字符串,只包含字母和数字,按要求找出字符串中的最长(连续)子串的长度
  • (Redis使用系列) Springboot 实现Redis 同数据源动态切换db 八
  • (Redis使用系列) SpringBoot 中对应2.0.x版本的Redis配置 一
  • (ros//EnvironmentVariables)ros环境变量
  • (SpringBoot)第二章:Spring创建和使用
  • (编程语言界的丐帮 C#).NET MD5 HASH 哈希 加密 与JAVA 互通
  • (蓝桥杯每日一题)love
  • (四)汇编语言——简单程序
  • (转)Oracle 9i 数据库设计指引全集(1)
  • .bat批处理(八):各种形式的变量%0、%i、%%i、var、%var%、!var!的含义和区别
  • .Family_物联网
  • .gitignore文件_Git:.gitignore
  • .net 调用php,php 调用.net com组件 --