# AN1308 — Analytic 1308 ## Descrição Detecta invocações suspeitas do `rundll32.exe` com argumentos atípicos como `.dll`, `.cpl`, `javascript:` ou `mshtml`, incluindo DLLs normalmente não carregadas pelo rundll32 sendo mapeadas em memória, chamadas a `Control_RunDLL` ou `RunHTMLApplication` e acesso a scripts ou DLLs suspeitos do disco ou da rede, além de rundll32 realizando conexões a domínios externos para buscar arquivos `.sct` ou `.hta`. A telemetria inclui logs de criação de processos (Sysmon Event ID 1), eventos de carregamento de imagem (Event ID 7), análise de linha de comando e logs de rede. Esta detecção é importante pois o `rundll32.exe` é frequentemente abusado como LOLBin para execução de código arbitrário contornando controles de segurança que confiam em binários assinados pela Microsoft. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-011-rundll32|T1218.011 — Rundll32]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-007-javascript|T1059.007 — JavaScript]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1308](https://attack.mitre.org/detectionstrategies/DET0475#AN1308)*