ESET Inspect – Зміст

Моніторинг мережевих підключень

Rundll32 — це системна утиліта Microsoft Windows, яка надає точку входу й мінімальне середовище для виконання бібліотек динамічного компонування. Нам потрібно відстежувати всі мережеві підключення, створені цією утилітою.

 

Правило

На що слід звернути увагу в наведеному вище прикладі правила:

1.Під час тестування правила ми помітили, що правило активується під час друку на мережевому принтері, який внутрішньо обробляється утилітою Rundll32 Оскільки цей випадок є помилковим спрацюванням, ми вирішили відфільтрувати утиліти Rundll32, які запускаються з популярних процесів (за допомогою <parentprocess>). Окрім того, ми використовуємо інші фільтри, зокрема Trusted або Marked as Safe.

2.Rundll32 зіставляється за спільним іменем, оскільки виконуваний файл процесу можна перейменувати. Окрім того, ми можемо зіставити Rundll32 з використанням властивості виконуваного файлу OriginalFileName.

3.Оскільки нам потрібно відстежувати мережеве підключення, ми використовуємо операцію TcpIpConnect.