Робота з LiveGrid і властивістю Safe
Правило відстежує підозрілі виконувані модулі, передані з rundll32.exe. Rundll32 — це системна утиліта Microsoft Windows, яка надає точку входу й мінімальне середовище для виконання бібліотек динамічного завантаження.
Правило
<?xml version='1.0' encoding='UTF-8'?> <rule> <description> <name>Rundll32 Dropped Suspicious Executable [A0310]</name> <guid>d6359e46-f318-403c-b2b5-7133dd0fd0dd</guid> <category>File system</category> <os>Windows</os> <severity>61</severity> <mitreattackid>T1218.011,T1105</mitreattackid> <explanation>Rundll32 is a Microsoft Windows system utility that provides an entry point and minimal framework for executing dynamic load libraries. The rule monitors suspicious executable modules dropped from rundll32.exe</explanation> <benignCauses>May be part of some installation process.</benignCauses> <maliciousCauses>Rundll32 is commonly misused by malware</maliciousCauses> <recommendedActions>1. Evaluate the dropped module metadata. 2. Evaluate the executable drop reason from rundll32.exe. 3. Evaluate the rundll32.exe command line and loaded modules. 4. Evaluate the parent process, its command line and execution chain.</recommendedActions> </description> <definition> <process> <operator type="OR"> <condition component="FileItem" property="FileName" condition="is" value="rundll32.exe"/> <condition component="Module" property="OriginalFileName" condition="is" value="RUNDLL32.exe"/> </operator> </process> <operations> <operation type="ModuleDrop"> <operator type="AND"> <condition component="LiveGrid" property="Popularity" condition="less" value="1000"/> <condition component="LiveGrid" property="Reputation" condition="less" value="8"/> <operator type="NOT"> <operator type="OR"> <condition component="Module" property="SignatureType" condition="is" value="Trusted"/> <condition component="Enterprise" property="Safe" condition="is" value="1"/> </operator> </operator> </operator> </operation> </operations> </definition> <maliciousTarget name="module"/> <actions> <action name="TriggerDetection"/> <action name="StoreEvent"/> </actions> </rule> |
На що слід звернути увагу в наведеному вище прикладі правила:
1.Ми використовували цю операцію ModuleDrop для виявлення модулів, переданих із rundll32.
2.Щоб відфільтрувати більшість небажаних сповіщень про правомірні дії, ми використовували три типи умов:
a.Властивості Popularity та Reputation компонента LiveGrid, щоб відфільтрувати найрозповсюдженіші програми й програми з надійною репутацією.
b.Властивістю SignatureType компонента Module є Trusted.
c.Для властивості Safe компонента Enterprise задано значення True. У ESET Inspect можна явно позначити файл як безпечний.