Certified Security Operations Center GmbH

10. Juni 2021

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

In unserem SOC wurde diese Woche eine „Unusual Network Connection via RunDLL32“ identifiziert. Eine anschließende Untersuchung ergab, dass bösartige DDL‘s (Dynamic Link Library) in Form von ungewöhnlichen Instanzen von einer EXE-Datei ‚rundll32.exe‘ erstellt wurden. Diese DDL‘s stellten eine ausgehende Netzwerkverbindung zu einem bestimmten Command & Control-Server her. Die Datei „rundll32.exe“ befand sich in diesem Fall nicht wie üblich im Ordner „C:\Windows\System32“, sondern unter dem Pfad „C:\Windows\System“.

Eine weitere Analyse ergab, dass die Datei bei jedem Start von Windows im Taskmanager an oberster Stelle angezeigt wurde. Unter diesen Umständen, handelt es sich bei der „rundll32.exe“ um eine infizierte bzw. schadhafte Datei, in der sich diverse Malware und Trojaner verbergen und gravierende Folgen nach sich ziehen können: Trojaner stellen eine wesentliche Bedrohung für Systeme dar, da sie nicht nur die CPU eines infizierten Systems verlangsamen, was zu Überlastung des Rechners und eventuell zu vermehrten Abstürzen führen kann, sondern auch das Eintrittstor für weiteren Schadcode sein können.

Im vorliegenden Fall konnte ein Indiz für ausgehende Netzwerkverbindungen gefunden werden. Es wurde eine Verbindung zu einem externen Command & Control-Server aufgebaut. Die Verbindung wurde durch unser „Active Response“ umgehend beendet und der Kunde durch unser Blue-Team informiert, sodass Schäden in der Infrastruktur verhindert werden konnten.

Unsere Handlungsempfehlungen

  • Im Ernstfall sollte die Anwendung eines Antivirenscanners, der versucht, die Systemdateien wiederherzustellen Abhilfe schaffen.
  • Benutzern sollten nur jene Zugriffsrechte zugewiesen werden, die zur Erfüllung ihrer Aufgabe notwendig sind. Ein Mitarbeiter, der mit Geschäftsanwendungen arbeitet, benötigt beispielsweise keine Administrator-Rechte oder einen Zugriff auf Netzlaufwerke, den er zur Erfüllung seiner Aufgaben nicht oder nicht mehr benötigt.
  • Außerdem sollten regelmäßig Patches und Updates eingespielt werden. Ein zentrales Update- und Patchmanagement muss für das zeitnahe Einspielen der Updates und Patches sorgen. Es sollte Benutzern nicht gestattet werden, bei Benachrichtigungen des Adobe oder Java-Updaters wiederholt auf „später erinnern“ zu klicken.

 

error: