Descripción de la Tecnica
CS FQL: 17. WIN_RunDll32_Suspicious_Use es una regla de detección basada en el CrowdStrike Falcon Query Language (FQL), perteneciente al grupo attack-pattern. Esta técnica identifica comportamientos sospechosos relacionados con la ejecución de rundll32.exe, un utilidad del sistema operativo Windows utilizada para cargar y ejecutar archivos DLL. La regla está diseñada para detectar el uso anormal o malicioso de esta herramienta, especialmente cuando se combina con comandos que podrían permitir la inyección de código malicioso.
¿Cómo Funciona?
La técnica opera mediante un query en FQL que filtra eventos relacionados con el proceso rundll32.exe. La regla busca patrones sospechosos en los parámetros de línea de comandos, como la inclusión de cadenas como "javascript:" o "shell32.dll", que podrían indicar la ejecución de código no autorizado. Los resultados se tabulan con detalles como la fecha del evento, el nombre del equipo, el usuario y el comando exacto utilizado.
Actores que la Utilizan
Esta técnica está asociada con actores cyberespías y ciberdelincuentes que buscan aprovechar vulnerabilidades en sistemas Windows. Es comúnmente utilizada para inyectar código malicioso a través de DLLs, especialmente en entornos donde los usuarios tienen acceso a herramientas de sistema no autorizadas.
Detección
La regla de detección se aplica mediante un query FQL que analiza eventos de proceso. Se identifican sospechosos cuando el proceso rundll32.exe es ejecutado con parámetros que incluyen:
- Nombre del archivo:
rundll32.exe. - Cadena en la línea de comandos:
"javascript:"o"shell32.dll".
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| ImageFileName | rundll32.exe | Ejecución de un proceso relacionado con DLLs. |
| CommandLine | "javascript:"|shell32.dll | Potencial inyección de código malicioso o uso no autorizado de Shell32. |
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Monitoreo continuo: Supervisar eventos relacionados con
rundll32.exey otros procesos de sistema. - Principio de mínimo privilegio: Limitar el acceso a herramientas críticas como
rundll32.exe. - Actualizaciones y parches: Mantener sistemas operativos y software actualizados para cerrar vulnerabilidades.
- Revisión de scripts y herramientas: Asegurar que cualquier uso de DLLs o scripts JavaScript esté autorizado y documentado.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*