ESET LiveGridとSafeプロパティの操作

このルールは、rundll32.exeからドロップされた不審な実行モジュールを監視します。Rundll32は、Microsoft Windowsシステムユーティリティで、エントリポイントと最小限のフレームワークを提供して、動的ロードライブラリを実行します。

ルール

<?xml version='1.0' encoding='UTF-8'?>

<rule>

<name>Rundll32 Dropped Suspicious Executable [A0310]</name>

<category>File system</category>

<os>Windows</os>

<explanation>Rundll32 is a Microsoft Windows system utility that provides an entry point and minimal framework for executing dynamic load libraries. The rule monitors suspicious executable modules dropped from rundll32.exe</explanation>

<benignCauses>May be part of some installation process.</benignCauses>

<maliciousCauses>Rundll32 is commonly misused by malware</maliciousCauses>

<recommendedActions>1. Evaluate the dropped module metadata.

2. Evaluate the executable drop reason from rundll32.exe.

3. Evaluate the rundll32.exe command line and loaded modules.

4. Evaluate the parent process, its command line and execution chain.</recommendedActions>

</description>

</operator>

</process>

</operator>

</operation>

</operations>

</definition>

</actions>

</rule>

上記のルールの例で注意すべき点:

1.ModuleDrop操作を使用して、rundll32からドロップされたモジュールを検出しました。

2.正当なアクションの不要なアラートの大多数を除外するために、次の3種類の条件を使用しました。

a.LiveGridコンポーネントのPopularityおよびReputation特性により、広く使用されているプログラムや、レピュテーションの高いプログラムを排除します。

b.ModuleコンポーネントのSignatureTypeプロパティはTrustedです。

c.EnterpriseコンポーネントのSafeプロパティはTrueに設定されます。ESET Inspectで、明示的にファイルを安全に設定できます。

˄˅