Stvaran bezbednosni incident: Kako je rundll32.exe isključen iz detekcije i skoro napravio haos.
Često analiziramo spoljne pretnje, phishing, ransomware, skeniranja. Ali nekad rizici dolaze iznutra od ljudi koji bi trebali da rade sa tobom a opet zaobilaze procedure pod nejasnim izgovorima.
Ovo je slučaj kada je legitimni sistemski proces rundll32.exe iskorišćen da prikrije neautorizovanu instalaciju benignog softvera isključivanjem iz detekcije.
Zaposleni je tražio odobrenje da instalira alat XYZ.exe ( Alat je prikazan kao “XYZ.exe” radi anonimnosti ) koji menja izgled taskbara i drugih UI komponenti u Windows-u. Razlog: Kupio je novi ultrawide monitor od 37" i taskbar mu "bode oči".
Objašnjeno mu je da softver nije odobren, menja sistemske komponente, ubacuje sopstveni kod u shell i otvara dodatni attack surface koji ne možemo da nadziremo. Bio je eksplicitno zamoljen da to ne radi.
Iako je softver zaista legitiman zbog njegove prirode Malware definitivno može da iskoristi to u svoju korist jer je sistem modifikovan i gubi integritet. (Visibility)
Uprkos upozorenju, kolega je potražio alternativu na forumima i našao je savet: ako želi da prođe ispod radara antivirusnog sistema treba da doda alat u exclusions, no to samo po sebi nije dovoljno pa treba takodje dodati rundll32.exe u exclusions listu. Inače razlog je taj što u toku instalacije softvera instalacioni *.dll fajl ubacuje instrukcije preko rundll32.exe koje AV/EDR može da pročita i detektuje nameru softvera. Njegovim filtriranjem EDR postaje slep.
To je veoma lukav i inteligentan savet, jer nije dovoljno da samo excluduješ *.exe ili *.msi paket jer će njegova instalacija indirektno da pošalje izvršnu instrukciju preko rundll32.exe što će heuristika da zapazi i trigerovaće Security Alert. Ovako potpuno zaobilazi antivirusni / EDR sistem.
Šta je on uradio .. pa upravo to:
Dodelio je sebi lokalnog administratora sa nekim drugim obrazloženjem.
Dodao alat u exclusions
Dodao rundll32.exe u exclusions
Instalirao alat.
Ovim je uradio domaći zadatak, prevario je antivirusni / EDR sistem i instalirao to što je hteo u tišini bez ikakve detekcije.
Sad, zašto je ovo kritično opasno?
Ranije sam kreirao custom KQL detekciju u SIEM sistemu zasnovanu na TTP tehnikama "MosaicLoader" tehnike.
MosaicLoader je poznata metoda koja:
1. Pravi Exclusions u Defenderu
2. Menja registre
3. Gasi svako logovanje
4. Isključivo obraća pažnju na rundll32 jer je njegovo filtriranje najčešći indikator da je ransomware umešao prste jer “priprema teren” pre nego što se ubaci glavni maliciozni payload (ransomware, spyware itd.) koji prima naredjenja i komunicira sa C2 (command and control) serverima upravo preko PowerShell instrukcija.
Upravo je to bio obrazac koji je on nesvesno uradio.
SIEM je detektovao izmene u registrima PLUS je istovremeno dodat rundll32.exe u exclusions. Skripta ga je odmah nagazila i odmah detektovala sumnjivu aktivnost prijavivši da nesto nije u redu.
Prvo sam pomislio da je zakačio Ransom koji priprema infiltraciju glavnog payload-a, odmah sam otišao na njegov računar i preko logova video da je XYZ.exe fajl u Downloads direktorijumu gde je rundll32.exe je korišćen kao loader za instalaciju.
Prilikom pregleda korisnikovog računara, forenzičkom analizom sam identifikovao sledeći lanac procesa:
userinit.exe -> explorer.exe -> XYZ.exe
Ova struktura jasno pokazuje da je userinit.exe kao deo korisničke sesije nakon logovanja pokrenuo explorer.exe a zatim je korisnik ručno i svesno pokrenuo alat XYZ.exe.
Ovakav tok procesa je nedvosmislen forenzički dokaz da je do pokretanja došlo interaktivno, fizičkom akcijom korisnika, čime je potpuno isključena mogućnost slučajnog ili automatizovanog izvršavanja.
Ishod:
Korisnik je ovim postupkom bukvalno postao nevidljiv za EDR, praktično se skroz isključio iz bezbednosnog nadzora.
Da je u nekom trenutku kasnije pokrenuo neki zaraženi fajl malware bi mogao da se proširi bez ikakvog alarma jer bi rundll32 pokrenuo sve u tišini.
Ovo je dobar primer threat huntinga, slučaj u kome standardni alati nisu detektovali pretnju, ali su razumevanje TTP patterna i prilagođeni SIEM alati omogućili identifikaciju ponašanja koja odstupaju od dozvoljenog
Threat hunting podrazumeva proaktivnu potragu za znakove kompromitovanja i sumnjivih aktivnosti koje nisu automatski detektovane od strane standardnih sigurnosnih alata (AV, EDR, SIEM alerti).
Često analiziramo spoljne pretnje, phishing, ransomware, skeniranja. Ali nekad rizici dolaze iznutra od ljudi koji bi trebali da rade sa tobom a opet zaobilaze procedure pod nejasnim izgovorima.
Ovo je slučaj kada je legitimni sistemski proces rundll32.exe iskorišćen da prikrije neautorizovanu instalaciju benignog softvera isključivanjem iz detekcije.
Incident počinje
Zaposleni je tražio odobrenje da instalira alat XYZ.exe ( Alat je prikazan kao “XYZ.exe” radi anonimnosti ) koji menja izgled taskbara i drugih UI komponenti u Windows-u. Razlog: Kupio je novi ultrawide monitor od 37" i taskbar mu "bode oči".
Objašnjeno mu je da softver nije odobren, menja sistemske komponente, ubacuje sopstveni kod u shell i otvara dodatni attack surface koji ne možemo da nadziremo. Bio je eksplicitno zamoljen da to ne radi.
Iako je softver zaista legitiman zbog njegove prirode Malware definitivno može da iskoristi to u svoju korist jer je sistem modifikovan i gubi integritet. (Visibility)
Šta je uradio
Uprkos upozorenju, kolega je potražio alternativu na forumima i našao je savet: ako želi da prođe ispod radara antivirusnog sistema treba da doda alat u exclusions, no to samo po sebi nije dovoljno pa treba takodje dodati rundll32.exe u exclusions listu. Inače razlog je taj što u toku instalacije softvera instalacioni *.dll fajl ubacuje instrukcije preko rundll32.exe koje AV/EDR može da pročita i detektuje nameru softvera. Njegovim filtriranjem EDR postaje slep.
To je veoma lukav i inteligentan savet, jer nije dovoljno da samo excluduješ *.exe ili *.msi paket jer će njegova instalacija indirektno da pošalje izvršnu instrukciju preko rundll32.exe što će heuristika da zapazi i trigerovaće Security Alert. Ovako potpuno zaobilazi antivirusni / EDR sistem.
Šta je on uradio .. pa upravo to:
Dodelio je sebi lokalnog administratora sa nekim drugim obrazloženjem. Dodao alat u exclusions Dodao rundll32.exe u exclusions Instalirao alat.Ovim je uradio domaći zadatak, prevario je antivirusni / EDR sistem i instalirao to što je hteo u tišini bez ikakve detekcije.
Sad, zašto je ovo kritično opasno?
- rundll32.exe je legitiman Windows proces koji može izvršavati DLL fajlove i PowerShell komande
- Kada se nalazi u Antivirus / EDR exclusions njegove aktivnosti postaju nevidljive za EDR
- Malware bi kroz njega mogao da pokrene komande ili čak ransomware bez ikakve detekcije
- Forenzički logovi ne bi prikazali aktivnost a komandni kanali bi neometano radili preko rundll32
Kako je otkriven
Ranije sam kreirao custom KQL detekciju u SIEM sistemu zasnovanu na TTP tehnikama "MosaicLoader" tehnike.
MosaicLoader je poznata metoda koja:
1. Pravi Exclusions u Defenderu
2. Menja registre
3. Gasi svako logovanje
4. Isključivo obraća pažnju na rundll32 jer je njegovo filtriranje najčešći indikator da je ransomware umešao prste jer “priprema teren” pre nego što se ubaci glavni maliciozni payload (ransomware, spyware itd.) koji prima naredjenja i komunicira sa C2 (command and control) serverima upravo preko PowerShell instrukcija.
Upravo je to bio obrazac koji je on nesvesno uradio.
SIEM je detektovao izmene u registrima PLUS je istovremeno dodat rundll32.exe u exclusions. Skripta ga je odmah nagazila i odmah detektovala sumnjivu aktivnost prijavivši da nesto nije u redu.
Prvo sam pomislio da je zakačio Ransom koji priprema infiltraciju glavnog payload-a, odmah sam otišao na njegov računar i preko logova video da je XYZ.exe fajl u Downloads direktorijumu gde je rundll32.exe je korišćen kao loader za instalaciju.
Prilikom pregleda korisnikovog računara, forenzičkom analizom sam identifikovao sledeći lanac procesa:
userinit.exe -> explorer.exe -> XYZ.exe
Ova struktura jasno pokazuje da je userinit.exe kao deo korisničke sesije nakon logovanja pokrenuo explorer.exe a zatim je korisnik ručno i svesno pokrenuo alat XYZ.exe.
Ovakav tok procesa je nedvosmislen forenzički dokaz da je do pokretanja došlo interaktivno, fizičkom akcijom korisnika, čime je potpuno isključena mogućnost slučajnog ili automatizovanog izvršavanja.
Ishod:
- Incident je eskaliran i identifikovan kao
MITRE ATT&CK - T1562.001 (Impair Defenses: Disable or Modify Tools)
MITRE ATT&CK - T1112 Modify Registry
MITRE ATT&CK - T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control
- Zabeležena su pravila kršenja procedura
- Kolega je dobio zvaničnu opomenu pred otkaz
Korisnik je ovim postupkom bukvalno postao nevidljiv za EDR, praktično se skroz isključio iz bezbednosnog nadzora.
Da je u nekom trenutku kasnije pokrenuo neki zaraženi fajl malware bi mogao da se proširi bez ikakvog alarma jer bi rundll32 pokrenuo sve u tišini.
Moguće posledice da nije otkriven:
- Malware bi mogao da se širi bez ikakvog alarma
- Infrastruktura bi mogla biti enkriptovana (fajl serveri, cloud, endpointi)
- Nijedan log ne bi pokazao kako je napad počeo
- GDPR prekršaji i regulatorne posledice
- Gubitak klijenata i sertifikata (ISO/SOC2)
- Ja bih kao odgovorna osoba, morao da odgovaram.
Tehnički zaključak
Kada su procesi isključeni iz tradicionalnog AV/EDR nadzora aktivnosti se moraju otkrivati alternativnim metodama:- Korišćenjem bihejvioralnih pravila (kao što su MITRE ATT&CK TTP korelacije)
- SIEM korelacija događaja / spajanje naizgled nepovezanih signala (recimo: registry + exclusions + rundll32 aktivnost)
- Primena YARA pravila i custom script detekcija
- Uvođenje hunting logike zasnovane na anomalijama (npr. neautorizovani admin pristup, neobične lokacije fajlova, neuobičajene kombinacije procesa)
Ovo je dobar primer threat huntinga, slučaj u kome standardni alati nisu detektovali pretnju, ali su razumevanje TTP patterna i prilagođeni SIEM alati omogućili identifikaciju ponašanja koja odstupaju od dozvoljenog
Threat hunting podrazumeva proaktivnu potragu za znakove kompromitovanja i sumnjivih aktivnosti koje nisu automatski detektovane od strane standardnih sigurnosnih alata (AV, EDR, SIEM alerti).
Prilozi
Poslednja izmena:
