تحلیل قانون: نوشتن فایل DLL توسط سرویس Spoolsv

Spoolsv Writing a DLL - Rule Analysis

چرا این هشدار صادر می‌شود؟

این قانون فرآیند spoolsv.exe (سرویس اسپولر پرینت) را در حالتی شناسایی می‌کند که اقدام به ایجاد یا نوشتن فایل با پسوند .dll در پوشه درایورهای پرینتر (\spool\drivers\x64\) می‌کند. این رفتار یکی از نشانه‌های کلیدی بهره‌برداری از آسیب‌پذیری‌های خطرناکی مانند PrintNightmare (CVE-2021-34527) است که به مهاجم اجازه می‌دهد با دسترسی SYSTEM کد دلخواه خود را اجرا کند.

Process: spoolsv.exe
Target Path: *\spool\drivers\x64\*
File Type: *.dll
Technique: Exploitation for Privilege Escalation (T1068)

مهاجم با قرار دادن یک DLL مخرب در این مسیر و بارگذاری آن توسط سرویس اسپولر، می‌تواند کنترل کامل سرور را به دست بگیرد.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

  • بهره‌برداری از PrintNightmare: نوشتن یک DLL ناشناس یا بدون امضا در پوشه درایورها، به ویژه اگر بلافاصله توسط spoolsv.exe بارگذاری شود.
  • تزریق بدافزار: قرار دادن فایل‌های مخرب که سعی در تقلید نام درایورهای واقعی پرینتر را دارند.

سناریوهای متوسط

  • نصب درایورهای تایید نشده: نصب درایورهای پرینتر از منابع غیررسمی که ممکن است حاوی کدهای آسیب‌پذیر یا مخرب باشند.

سناریوهای کم‌خطر (مثبت کاذب)

  • به‌روزرسانی قانونی درایورها: فرآیند طبیعی آپدیت درایورهای پرینتر که فایل‌های DLL جدید و معتبر را در این مسیر کپی می‌کند (معمولاً امضا شده هستند).
  • نصب پرینتر جدید: اضافه کردن یک پرینتر جدید به سیستم که منجر به نصب درایورهای آن می‌شود.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اگر فایل DLL ایجاد شده فاقد امضای دیجیتال باشد و در زمان غیر اداری یا بدون درخواست نصب درایور ایجاد شده باشد.

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

  • Sysmon Event ID 11 (File Create)
  • Windows Security Event 4663 (File Write)

دیتامدل‌های مورد استفاده

  • Endpoint.Processes
  • Endpoint.Filesystem

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

process_name (spoolsv.exe)
file_name (*.dll)
file_path
dest (Hostname)
process_guid