astea-b/sysmon-rundll32-incident-response

# Sysmon 应急响应：Rundll32 威胁狩猎与检测 ## 项目概述 本仓库包含一份全面的应急响应报告和自定义检测规则 (XML)，旨在监控、分析并拦截可疑的 `rundll32.exe` 执行。该项目专注于识别恶意 DLL 注入以及威胁行为者用于绕过应用程序白名单的规避行为。 ## 业务价值与解决的问题 * **威胁：** 攻击者利用内置的 Windows 实用程序 `rundll32.exe` 在受信任的进程中运行恶意代码，导致标准的基于特征码的杀毒软件无法察觉该攻击。 * **解决方案：** 实施了行为 Sysmon 监控规则，用于分析与 Rundll32 活动相关的命令行参数、网络连接和无支持内存空间 (unbacked memory spaces)。 * **成果：** 使安全团队能够即时检测到防御规避技术（MITRE ATT&CK T1218.011），保护企业网络免受远程代码执行 (RCE) 和活跃的勒索软件部署的威胁。 ## 仓库结构 * `Rundll32.xml` — 用于伪装进程的高保真 Sysmon 检测基线配置。 * `Create Sysmon Incident Report — Rundll32 — Working Client.md` — 完整的取证案例研究、内存分析日志演练和防御手册。 ## 使用的技术 * **SIEM 与日志：** Microsoft Sysmon（Event ID 1：进程创建）、Windows 安全日志 * **战术：** MITRE ATT&CK（T1218.011 - 系统二进制文件代理执行：Rundll32） * **调查：** 命令行审计、Process Hacker / Process Explorer

标签：Sysmon, 库, 应急响应, 防御规避检测