Visual Basic: Command Scripting Interpreter - Visual Basic (T1059.005)

Per testare le difese contro Visual Basic, inizia creando una macro VBA malevola in Word. Apri l'editor VBA con Alt+F11 e inserisci nel modulo ThisDocument:

Sub AutoOpen()
    Dim shell As Object
    Set shell = CreateObject("WScript.Shell")
    shell.Run "powershell -nop -w hidden -enc <BASE64_PAYLOAD>"
End Sub

La macro si attiva automaticamente all'apertura del documento. Per distribuire VBScript standalone, crea un file .vbs che scarica ed esegue un payload:

cscript.exe download.vbs //B //Nologo

Il contenuto di download.vbs potrebbe includere tecniche di evasione come l'offuscamento delle stringhe. Lazarus Group ha dimostrato l'efficacia combinando VBA con doppia codifica Base64, mentre FIN7 preferisce catene complesse che concatenano VBScript con PowerShell.

Per simulare persistence, posiziona uno script VBS nella cartella di avvio: copy malicious.vbs "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"

Su Linux con Wine o Mono, testa l'esecuzione cross-platform: mono vbnet_payload.exe. Questo approccio è raro ma documentato in ambienti ibridi.

Gli attaccanti più sofisticati come APT32 utilizzano scriptlet COM per bypassare restrizioni. Crea un file .sct con codice VBScript embedded e richiamalo via regsvr32 per evasione avanzata.

Il detection di Visual Basic richiede focus sui processi parent-child anomali. Monitora quando winword.exe o excel.exe generano wscript.exe o cscript.exe - questo pattern indica quasi sempre attività sospetta. Eventi Sysmon con EventCode 1 (Process Creation) sono fondamentali.

Configura alert per script hosts che si connettono a Internet. Visual Basic legittimo raramente necessita connessioni esterne, quindi wscript.exe che genera connessioni TCP dovrebbe triggerare immediatamente un'allerta di severità alta.

Il caricamento di vbscript.dll da processi non standard merita attenzione. Processi come rundll32.exe o regsvr32.exe che caricano librerie di scripting indicano tecniche di evasione. Gamaredon Group utilizza pesantemente questa tecnica con template malevoli.

Per ridurre i falsi positivi, implementa whitelist basate su hash per script amministrativi legittimi. Mantieni un inventario degli script VBS autorizzati nel tuo ambiente e allerta su qualsiasi esecuzione non catalogata.

L'analisi comportamentale deve includere il monitoraggio di script che creano altri file script. Questo pattern di "script dropper" è comune in campagne come Operation Honeybee. Traccia anche modifiche al registro effettuate da processi di scripting, specialmente nelle chiavi di persistenza.

Gli artefatti Visual Basic persistono in molteplici location. Inizia esaminando i file temporanei di Office in %TEMP%, dove spesso rimangono tracce di macro estratte. File con estensione .exd contengono versioni compilate di controlli ActiveX usati da VBA.

Il registro di Windows conserva evidenze critiche. La chiave HKCU\Software\Microsoft\Office[Version]\Word\Security rivela se le macro erano abilitate. Timestamp di modifica indicano quando l'utente ha alterato le impostazioni di sicurezza.

I log di Office Trust Center in %LOCALAPPDATA%\Microsoft\Office\16.0\Telemetry documentano l'esecuzione di macro non firmate. MuddyWater lascia spesso tracce identificabili in questi log quando utilizza POWERSTATS via VBS.

Per ricostruire l'esecuzione di VBScript standalone, analizza Prefetch files. wscript.exe-[HASH].pf contiene percorsi degli script eseguiti e DLL caricate. La presenza di scrrun.dll indica uso di FileSystemObject, comune nei dropper.

Zone.Identifier alternate data streams rivelano l'origine dei file VBS scaricati. Usa dir /r per visualizzare questi stream che indicano se lo script proveniva da Internet, informazione critica per determinare il vettore iniziale.

Lazarus Group (Corea del Nord) dimostra l'evoluzione più sofisticata nell'uso di Visual Basic. Dalle campagne Operation Sharpshooter a Dream Job, utilizzano costantemente VBA in false offerte di lavoro. La loro signature include macro che decodificano payload Base64 multipli volte e l'uso di temi legati al recruiting.

Gamaredon Group (Russia) rappresenta l'uso più prolifico ma meno sofisticato. Distribuiscono massivamente template Office malevoli con VBA che scarica payload da infrastrutture C2 russe. I loro script contengono spesso commenti in cirillico e utilizzano tecniche di offuscamento basilari.

FIN7 (finanziariamente motivato) eccelle nell'uso combinato di VBS con JavaScript in campagne contro il settore retail. I loro script implementano sandbox evasion verificando la presenza di mouse e tastiera prima dell'esecuzione del payload principale.

APT32 (Vietnam) preferisce scriptlet COM e ha sviluppato framework custom basati su VBScript. Target primari includono aziende manifatturiere e media in Southeast Asia. Utilizzano spesso temi legati a conferenze regionali ASEAN.

L'overlap di tool tra gruppi suggerisce condivisione nel cybercrime underground. Emotet, originariamente banking trojan, viene ora distribuito da molteplici attori tramite macro VBA, indicando la commoditizzazione di questa tecnica.

Tecnica documentata nel MITRE ATT&CK framework come T1059.005. Riferimenti alle campagne Operation Dream Job e Operation Sharpshooter forniscono contesto operativo. Detection basata su behavioral analytics DET0076 per identificazione di esecuzione VB anomala.