MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1059.005: Visual Basic

Злоумышленники могут использовать для выполнения вредоносного кода Visual Basic (VB). VB — язык программирования, созданный компанией Microsoft и способный взаимодействовать со многими технологиями Windows, такими как COM-модель и нативный API, через API Windows. VB считается устаревшим, и его развитие в дальнейшем не планируется; тем не менее он интегрирован в платформу .NET и ее кросс-платформенную реализацию .NET Core.

На базе VB были также созданы производные языки, такие как Visual Basic for Applications (VBA) и VBScript. VBA — событийно-ориентированный язык, встроенный в Microsoft Office, а также в некоторые приложения сторонних разработчиков. VBA позволяет использовать в документах макросы для автоматизации выполнения задач и реализации других функций на хосте. VBScript — сценарный язык по умолчанию на Windows-хостах, который может использоваться вместо JavaScript на страницах HTML-приложений (HTA), запускаемых в Internet Explorer (большинство современных браузеров не поддерживают VBScript).

Злоумышленники могут использовать полезные нагрузки на базе VB для выполнения вредоносных команд. Типовое вредоносное использование включает автоматическое выполнение сценариев с помощью VBScript или включение VBA-контента в полезные нагрузки при использовании целевого фишинга с вложением (который также может включать обход ограничений веб-меток безопасности (MOTW) для обеспечения выполнения).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-339: Script_Files_Execution: Пользователь попытался запустить скрипт
mitre_attck_execution: PT-CR-605: Office_File_with_Macros: Пользователь открыл документ Microsoft Offiсe с макросом
hacking_tools: PT-CR-373: SharpWMI_Usage: Обнаружено возможное использование программного обеспечения SharpWMI
mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Monitor for the loading of modules associated with VB languages (ex: vbscript.dll).

Note: For Windows, Sysmon Event ID 7 (Image loaded) can be used to alert on the loading of DLL modules (e.g., vbscript.dll) associated with Visual Basic into processes. Due to the high frequency of image load operations, Event ID 7 can generate a large volume of events. Therefore, we recommend tuning the Sysmon configuration file to exclude common, benign image loads that may result in false positives.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent.

Note: Be aware of VBScript execution from temporary or unusual file locations, which may indicate malicious activity.

Analytic 1 - Script Execution from Temporary Locations

(source=WinEventLog:"Microsoft-Windows-PowerShell/Operational" EventID="4103") | WHERE CommandLine LIKE "AppData.vbs" OR CommandLine LIKE "AppData.vbe*" OR CommandLine LIKE "AppData.vba*"

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for events associated with VB execution, such as Office applications spawning processes, usage of the Windows Script Host (typically cscript.exe or wscript.exe). VB execution is likely to perform actions with various effects on a system that may generate events, depending on the types of monitoring used.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may abuse Visual Basic (VB) for execution.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Turn off or restrict access to unneeded VB components.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Anti-virus can be used to automatically quarantine suspicious files.

IDM1038НазваниеЗащита от выполненияОписание

Use application control where appropriate. VBA macros obtained from the Internet, based on the file's Mark of the Web (MOTW) attribute, may be blocked from executing in Office applications (ex: Access, Excel, PowerPoint, Visio, and Word) by default starting in Windows Version 2203.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent Visual Basic scripts from executing potentially malicious downloaded content .

IDM1021НазваниеОграничения для веб-контентаОписание

Script blocking extensions can help prevent the execution of scripts and HTA files that may commonly be used during the exploitation process. For malicious code served up through ads, adblockers can help prevent that code from executing in the first place.