jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: WIN_RunDll32_Suspicious_Use

CS Query: WIN_RunDll32_Suspicious_Use

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Nombre del archivo ejecutable: rundll32.exe
  • Línea de comandos sospechosas: Contiene patrones como javascript: o referencias a shell32.dll
  • Salida de la consulta: Tabla con timestamps, ID del dispositivo, nombre de usuario y línea de comandos.

CS Query: WIN_RunDll32_Suspicious_Use

Descripción de la Tecnica

WIN_RunDll32_Suspicious_Use es una técnica detectada por CrowdStrike Falcon en el marco del MITRE ATT&CK. Esta técnica se centra en la detección de procesos sospechosos que utilizan rundll32.exe, un ejecutable estándar de Windows, pero con comportamientos anómalos relacionados con la inyección de código malicioso o el uso de DLLs no autorizados.

¿Cómo Funciona?

La técnica se basa en la detección de procesos que ejecutan rundll32.exe con parámetros sospechosos. En particular, se busca la presencia de scripts JavaScript o referencias a shell32.dll en la línea de comandos del proceso. Esto puede indicar una inyección de código malicioso, donde un atacante explota el mecanismo de rundll32.exe para ejecutar código no autorizado o exponer recursos de sistema.

Actores que la Utilizan

No hay información pública sobre actores específicos asociados a esta técnica. La detección se basa en patrones de comportamiento observados en entornos corporativos, sin atribuir directamente a grupos o amenazas conocidas.

Detección

La técnica se detecta mediante una consulta FQL (CrowdStrike Falcon) que filtra eventos de ProcessRollup2 con criterios específicos:

  • Nombre del archivo ejecutable: rundll32.exe
  • Línea de comandos sospechosas: Contiene patrones como javascript: o referencias a shell32.dll
  • Salida de la consulta: Tabla con timestamps, ID del dispositivo, nombre de usuario y línea de comandos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles. La detección se basa en la consulta FQL proporcionada por CrowdStrike Falcon, que no incluye datos concretos sobre IPs, dominios o hashes maliciosos.

Mitigación

La mitigación implica monitorear procesos de sistema para detectar el uso inusual de rundll32.exe, especialmente cuando se asocie con scripts JavaScript o DLLs no autorizados. Se recomienda actualizar sistemas y emplear herramientas de ciberseguridad como CrowdStrike Falcon para identificar comportamientos anómalos en tiempo real.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach