ESCU Alert - Rundll32 WebDAV Analysis

چرا این هشدار صادر می‌شود؟

این قانون زمانی فعال می‌شود که پردازش rundll32.exe اقدام به برقراری ارتباط شبکه‌ای از طریق پروتکل WebDAV کند. مهاجمان از این روش برای دانلود و اجرای کد مخرب (DLL) به صورت مستقیم از اینترنت، بدون ذخیره فایل روی هارد دیسک استفاده می‌کنند. پروتکل WebDAV که افزونه‌ای بر HTTP است، این امکان را فراهم می‌کند.

Process: rundll32.exe
Library: davclnt.dll, davsetcookie
Technique: Ingress Tool Transfer (T1105)

این تکنیک به مهاجم اجازه می‌دهد تا از پورت‌های استاندارد وب (80/443) برای دور زدن فایروال‌ها استفاده کند، در حالی که اجرای کد توسط یک باینری قانونی ویندوز انجام می‌شود.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

اتصال به آدرس عمومی: خط فرمان rundll32.exe حاوی یک مسیر UNC است که به یک آدرس IP عمومی اشاره می‌کند. این نشان‌دهنده دانلود بدافزار است.
استفاده از کتابخانه کلاینت: فراخوانی مستقیم کتابخانه کلاینت WebDAV توسط rundll32 برای برقراری ارتباط با سرور خارجی.
والد مشکوک: اگر این دستور توسط آفیس یا پاورشل اجرا شود، نشان‌دهنده سوءاستفاده از سند یا اسکریپت مخرب است.

سناریوهای متوسط

پورت‌های غیر استاندارد: اتصال به پورت‌هایی غیر از 80 و 443 که ممکن است سرور فرماندهی مهاجم باشد.
اجرای فایل متنی: تلاش برای اجرای فایلی با پسوند غیرمعمول که در واقع حاوی کد اجرایی است.

سناریوهای کم‌خطر (مثبت کاذب)

دسترسی به شیرپوینت داخلی: در برخی سازمان‌ها، دسترسی به فایل‌های شیرپوینت داخلی از طریق WebDAV و با استفاده از rundll32 ممکن است رخ دهد.
اسکریپت‌های ادمین: مدیرانی که از WebDAV برای جابجایی فایل در شبکه داخلی استفاده می‌کنند.

ارزیابی خطر و تریاژ

این هشدار نشان‌دهنده تلاش برای دور زدن کنترل‌های امنیتی محیطی است. برای بررسی:

نشانه قطعی خطر: اگر آدرس مقصد یک آدرس اینترنتی ناشناس باشد و دستور اجرا شده حاوی مسیر UNC (شروع با \\) باشد، سیستم آلوده است.

بررسی آی‌پی مقصد: آی‌پی را در سرویس‌های اعتبار سنجی بررسی کنید. آیا به عنوان سرور بدافزار شناخته شده است؟
بررسی خط فرمان: دقیقاً چه فایلی فراخوانی شده است؟ آیا از davclnt.dll استفاده شده؟
والد پروسه: چه چیزی rundll32 را اجرا کرده؟ اگر آفیس باشد، احتمالاً یک حمله ماکرو است.
اتصالات بعدی: آیا پس از این اتصال، فرآیند دیگری ایجاد شده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Windows Security Event 4688

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

process_name (rundll32.exe)

dest (Destination Address)

process (Command Line)

parent_process_name

user