T1059.005: Visual Basic
Злоумышленники могут использовать для выполнения вредоносного кода Visual Basic (VB). VB — язык программирования, созданный компанией Microsoft и способный взаимодействовать со многими технологиями Windows, такими как COM-модель и нативный API, через API Windows. VB считается устаревшим, и его развитие в дальнейшем не планируется; тем не менее он интегрирован в платформу .NET и ее кросс-платформенную реализацию .NET Core.
На базе VB были также созданы производные языки, такие как Visual Basic for Applications (VBA) и VBScript. VBA — событийно-ориентированный язык, встроенный в Microsoft Office, а также в некоторые приложения сторонних разработчиков. VBA позволяет использовать в документах макросы для автоматизации выполнения задач и реализации других функций на хосте. VBScript — сценарный язык по умолчанию на Windows-хостах, который может использоваться вместо JavaScript на страницах HTML-приложений (HTA), запускаемых в Internet Explorer (большинство современных браузеров не поддерживают VBScript).
Злоумышленники могут использовать полезные нагрузки на базе VB для выполнения вредоносных команд. Типовое вредоносное использование включает автоматическое выполнение сценариев с помощью VBScript или включение VBA-контента в полезные нагрузки при использовании целевого фишинга с вложением (который также может включать обход ограничений веб-меток безопасности (MOTW) для обеспечения выполнения).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-339: Script_Files_Execution: Пользователь попытался запустить скрипт
mitre_attck_execution: PT-CR-605: Office_File_with_Macros: Пользователь открыл документ Microsoft Offiсe с макросом
hacking_tools: PT-CR-373: SharpWMI_Usage: Обнаружено возможное использование программного обеспечения SharpWMI
mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Monitor for the loading of modules associated with VB languages (ex: vbscript.dll). Note: For Windows, Sysmon Event ID 7 (Image loaded) can be used to alert on the loading of DLL modules (e.g., vbscript.dll) associated with Visual Basic into processes. Due to the high frequency of image load operations, Event ID 7 can generate a large volume of events. Therefore, we recommend tuning the Sysmon configuration file to exclude common, benign image loads that may result in false positives. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent. Note: Be aware of VBScript execution from temporary or unusual file locations, which may indicate malicious activity. Analytic 1 - Script Execution from Temporary Locations
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for events associated with VB execution, such as Office applications spawning processes, usage of the Windows Script Host (typically cscript.exe or wscript.exe). VB execution is likely to perform actions with various effects on a system that may generate events, depending on the types of monitoring used. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may abuse Visual Basic (VB) for execution. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Turn off or restrict access to unneeded VB components. |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Anti-virus can be used to automatically quarantine suspicious files. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Use application control where appropriate. VBA macros obtained from the Internet, based on the file's Mark of the Web (MOTW) attribute, may be blocked from executing in Office applications (ex: Access, Excel, PowerPoint, Visio, and Word) by default starting in Windows Version 2203. |
---|
ID | M1040 | Название | Предотвращение некорректного поведения | Описание | On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Visual Basic scripts from executing potentially malicious downloaded content . |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | Script blocking extensions can help prevent the execution of scripts and HTA files that may commonly be used during the exploitation process. For malicious code served up through ads, adblockers can help prevent that code from executing in the first place. |
---|