Esecuzione JavaScript: Command and Scripting Interpreter — JavaScript (T1059.007)

La simulazione dell'esecuzione JavaScript malevola in laboratorio copre tre superfici d'attacco distinte: Windows Script Host, macOS JXA e Node.js su Linux. Ciascuna richiede un approccio specifico.

Windows — WSH e HTA

Il punto di partenza è il classico dropper via wscript.exe. Crea un file .js che istanzia un oggetto WScript.Shell e invoca un comando arbitrario. In laboratorio si può testare con un semplice callback:

wscript.exe /e:JScript C:\lab\payload.js

Per simulare la catena d'attacco documentata in numerosi gruppi — dove il JS viene scaricato ed eseguito da un file Office o HTA — si può costruire un file HTA con blocco <script language="JScript"> che esegue ActiveXObject("WScript.Shell").Run(...). L'esecuzione avviene tramite:

mshta.exe C:\lab\dropper.hta

Per replicare scenari di offuscamento, lo strumento CactusTorch (open source) genera payload JScript che deserializzano assembly .NET in memoria, una tecnica usata da diversi malware documentati. Un'alternativa per generare shellcode eseguibile via JScript è Donut (open source), che supporta output in formato JScript e JavaScript.

Per testare l'efficacia delle regole ASR, abilita la modalità audit prima di passare al block:

Set-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions AuditMode

Questa GUID corrisponde alla regola ASR che impedisce a JavaScript e VBScript di lanciare contenuto scaricato.

macOS — JXA

JavaScript for Automation si testa tramite osascript con il flag -l JavaScript:

osascript -l JavaScript -e 'ObjC.import("Cocoa"); $.NSLog($.NSProcessInfo.processInfo.environment)'

Questo comando legge le variabili d'ambiente del processo corrente tramite bridge Objective-C, dimostrando l'accesso alle API Apple da JXA. Per simulare la compilazione di uno script persistente:

osacompile -l JavaScript -o /tmp/lab_agent.scpt /tmp/payload.js

L'output compilato può essere inserito in un LaunchAgent per testare la persistenza.

Linux — Node.js

La simulazione di web shell JavaScript prevede il deploy di un semplice server Node.js che esegue comandi ricevuti via HTTP. Framework come Caldera (open source, sviluppato da MITRE) includono ability specifiche per T1059.007 che automatizzano l'intera catena. In alternativa, Atomic Red Team (open source) fornisce test atomici pronti per questa sotto-tecnica, eseguibili con il modulo PowerShell Invoke-AtomicTest o in ambiente Linux.

La detection dell'abuso di JavaScript si gioca su tre piani: la relazione padre-figlio dei processi, il percorso di origine dello script e l'attività di rete post-esecuzione.

Windows — Le log source imprescindibili

Sysmon è il pilastro. L'EventCode 1 (Process Create) cattura ogni invocazione di wscript.exe, cscript.exe e mshta.exe con la command line completa, l'hash del binario e soprattutto il processo padre. Qui sta il primo indicatore ad alta fedeltà: se il parent process è EXCEL.EXE, OUTLOOK.EXE, WINWORD.EXE o un browser, l'alert merita priorità elevata. Non è normale che un documento Office generi un interprete di scripting.

Il secondo pilastro è AMSI (Antimalware Scan Interface). Quando JScript viene eseguito dal WSH, il contenuto dello script transita per AMSI prima dell'esecuzione. I log AMSI, raccolti tramite EventCode 4104 nel canale Microsoft-Windows-PowerShell/Operational per PowerShell o nel provider ETW Microsoft-Antimalware-Scan-Interface, espongono il codice anche se il file su disco è offuscato. Correlando l'entropy score del contenuto AMSI con l'esecuzione di wscript.exe si ottiene un rilevamento robusto contro gli stager offuscati.

Per la rete, l'EventCode 3 di Sysmon (Network Connection) rivela connessioni outbound originate da wscript.exe o mshta.exe — un comportamento quasi sempre malevolo in ambienti enterprise.

Regole di tuning per abbattere i falsi positivi

Il rumore principale proviene da script di login legittimi e tool di gestione che usano WSH. Quattro filtri risolvono la maggior parte dei casi:

• Percorso dello script: escludere C:\Windows\, \\domain\NETLOGON\ e percorsi gestiti da SCCM/Intune. Tutto ciò che arriva da %TEMP%, %USERPROFILE%\Downloads o percorsi UNC anomali è sospetto.
• Contesto utente: account non-admin che eseguono script .js meritano scrutinio aggiuntivo.
• Finestra temporale: esecuzioni fuori orario lavorativo o durante le finestre di patching vanno trattate separatamente.
• Parent process whitelisting: documentare i parent legittimi nel proprio ambiente e alertare su tutto il resto.

macOS e Linux

Su macOS, il Unified Log cattura le invocazioni di osascript con il subsystem com.apple.opscripting. La query con il tool log nativo filtra per il processo osascript con argomento -l JavaScript. Attenzione ai falsi positivi da IDE e tool di automazione come Hammerspoon.

Su Linux, auditd con regole su execve che filtrano per node, nodejs o interpreter custom è il punto di partenza. La correlazione con connessioni outbound successive (SYSCALL su connect) identifica i pattern di reverse shell. L'EventCode 3 di Sysmon for Linux (open source, richiede installazione separata) offre un'alternativa più strutturata.

L'analisi forense di un'intrusione JavaScript-based segue una catena di artefatti prevedibile: consegna, esecuzione, persistenza e azione sull'obiettivo. La sfida è che gli script sono text-based e spesso eliminati dopo l'esecuzione, rendendo cruciale sapere dove cercare le tracce residue.

Artefatti Windows

Il primo punto di raccolta è il registro eventi. L'EventCode 1 di Sysmon fornisce la command line esatta, il percorso dello script e l'albero dei processi. Se lo script è stato eseguito da un allegato email, il parent process chain tipico è outlook.exe → winword.exe → wscript.exe — ogni anello della catena ha un timestamp che costruisce la timeline.

Il file system conserva tracce anche dopo la cancellazione. La cartella %TEMP% dell'utente e la cache del browser sono i percorsi più comuni. Per file .js scaricati da Internet, l'Alternate Data Stream Zone.Identifier (Zone ID = 3) conferma l'origine web — se presente, lo script è arrivato via download; se assente, potrebbe essere stato estratto da un archivio che ha strippato il Mark of the Web, come accade con i file ZIP protetti da password documentati nella campagna Water Curupira Pikabot Distribution (C0037).

Il Prefetch di Windows (C:\Windows\Prefetch\WSCRIPT.EXE-*.pf e CSCRIPT.EXE-*.pf) registra le ultime 8 esecuzioni con timestamp e percorsi dei file referenziati. Anche se lo script è stato cancellato, il Prefetch ne conserva il path originale. Lo strumento PECmd di Eric Zimmerman (open source) parsifica questi file in formato CSV per analisi batch.

Le ShimCache (AppCompatCache nel registry SYSTEM) e l'Amcache (Amcache.hve) registrano l'esecuzione dei binari WSH con timestamp di ultima modifica del file. Registry Explorer e AppCompatCacheParser (entrambi open source, suite Eric Zimmerman) sono gli strumenti standard per l'estrazione.

Per il contenuto effettivo dello script, AMSI conserva il testo deoffuscato nei log ETW. Se il sistema aveva Windows Defender attivo, il log Microsoft-Windows-Windows Defender/Operational con EventCode 1116 e 1117 registra il nome della detection e il percorso del file incriminato.

Artefatti macOS

Il Unified Log è la fonte primaria. La query filtra sul subsystem com.apple.opscripting e sul processo osascript. Gli script compilati con osacompile generano file .scpt o .app bundle la cui data di creazione e modifica va correlata con eventuali LaunchAgent o LaunchDaemon creati nello stesso arco temporale. Il database di quarantena di macOS (com.apple.LaunchServices.QuarantineEventsV2) traccia i download con URL di origine e timestamp.

Artefatti Linux

I log auditd con tipo EXECVE catturano l'intera command line di node o nodejs. La history della shell (~/.bash_history, ~/.zsh_history) può contenere invocazioni manuali. Per web shell JavaScript deployate su server, i log di accesso del web server (Apache, Nginx) correlati con il timestamp di creazione del file .js nella document root chiudono il cerchio tra accesso iniziale e deploy del payload.

Con 25 gruppi documentati, JavaScript è una delle sotto-tecniche di Command and Scripting Interpreter con la maggiore adozione trasversale. L'analisi dei profili rivela cluster operativi distinti per motivazione, area geografica e modalità d'uso.

Cybercrime finanziario — FIN6, FIN7, Cobalt Group, TA505, TA577, TA578

Questo cluster rappresenta il cuore dell'abuso JavaScript nel panorama finanziario. FIN6 usa JS malevolo per lo skimming di carte di pagamento su siti e-commerce — un pattern Magecart classico. FIN7 impiega script JavaScript come automazione post-compromissione sulle macchine vittima, mentre il loro malware GRIFFON è interamente scritto in JS. Cobalt Group esegue scriptlet JavaScript direttamente sulle workstation compromesse. TA505 usa JS come vettore di esecuzione generico, e TA577 e TA578 lo integrano nelle catene di distribuzione malware via email con file JS offuscati. Questo cluster condivide un pattern: JavaScript come stage iniziale in catene che convergono verso ransomware o furto di credenziali.

Spionaggio post-sovietico — Turla, Saint Bear, MuddyWater, Winter Vivern, Star Blizzard

Turla mantiene backdoor JavaScript diversificate, incluso KOPILUWAK, un RAT interamente basato su JS usato per le funzioni core di C2. Saint Bear distribuisce documenti Office con oggetti JavaScript embedded che scaricano ed eseguono payload secondari come OutSteel e SaintBot. MuddyWater usa file JS come loader per il suo payload POWERSTATS, creando una catena JS → PowerShell caratteristica. Winter Vivern inietta JavaScript malevolo sfruttando vulnerabilità nei server Roundcube Webmail — un vettore che merita attenzione per chiunque utilizzi webmail self-hosted. Star Blizzard usa JS per redirigere il traffico delle vittime verso infrastrutture di phishing basate su Evilginx.

Operazioni Asia-Pacifico — APT32, Sidewinder, Earth Lusca, Kimsuky, Mustang Panda, Higaisa

Earth Lusca si distingue per l'uso di watering hole con iniezione di JS malevolo in siti legittimi — una tecnica che richiede accesso preventivo all'infrastruttura web del target. Kimsuky usa JScript non solo per il download di tool ma anche per il furto di informazioni tramite l'estensione TRANSLATEXT, che contiene quattro file JavaScript dedicati a bypass difensivo, raccolta dati sensibili, screenshot ed esfiltrazione. Mustang Panda esegue payload JS tramite wscript.exe, restando nel paradigma WSH classico. Sidewinder usa JS come loader per malware multi-stage, mentre APT32 lo sfrutta sia per drive-by download sia per comunicazioni C2.

Campagne recenti e trend emergenti

La campagna C0017 (maggio 2021–febbraio 2022) mostra APT41 che deploya web shell JScript su sistemi governativi statunitensi compromessi — un uso server-side di JavaScript lontano dai classici dropper client-side. Le campagne C0037 e C0036 (2023–2024) documentano la distribuzione di Pikabot tramite file JavaScript offuscati in archivi ZIP protetti da password, un pattern emerso dopo il takedown di QakBot e potenzialmente collegato all'ecosistema BlackBasta. Il gruppo Contagious Interview rappresenta un trend recente: l'uso di script NodeJS (denominato nvidia.js) per colpire sviluppatori, sfruttando la familiarità del target con l'ecosistema JavaScript.

Il pattern emergente è chiaro: JavaScript si sta spostando dal classico dropper .js via email verso vettori più sofisticati — watering hole, web shell server-side, estensioni browser e script Node.js mascherati da tool di sviluppo.

Framework MITRE ATT&CK v16 — T1059.007 (JavaScript), TA0002 (Execution). Campagne: C0015, C0016 (Operation Dust Storm), C0017, C0036 (Pikabot Distribution February 2024), C0037 (Water Curupira Pikabot Distribution). Detection: Sysmon (open source), auditd (open source), AMSI (componente nativo Windows). Tool operativi: Atomic Red Team (open source), Caldera (open source), Donut (open source), PECmd e AppCompatCacheParser (open source — Eric Zimmerman). Integrato con conoscenza professionale per tool e procedure operative.