ویژوال بیسیک
Visual Basicتوضیحات
مهاجمان از Visual Basic Script (VBScript) و Visual Basic for Applications (VBA) برای اجرای کد مخرب استفاده میکنند. VBScript در ویندوز به صورت پیشفرض وجود دارد و VBA در برنامههای Microsoft Office تعبیه شده است. این زبانها اغلب در کمپینهای فیشینگ از طریق ماکروهای Office مخرب استفاده میشوند.
روشهای شناسایی
نظارت بر اجرای wscript.exe و cscript.exe. شناسایی ماکروهای VBA مشکوک در فایلهای Office. بررسی فایلهای .vbs و .vbe. تحلیل رفتار فرآیندهای ایجاد شده توسط VBScript.
روشهای مقابله
غیرفعال کردن ماکروهای Office از منابع ناشناخته. استفاده از Attack Surface Reduction Rules. محدود کردن اجرای VBScript. پیادهسازی AMSI. آموزش کاربران در مورد ماکروهای مخرب.
تکنیک اصلی
مفسر دستور و اسکریپت
مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپتها یا باینریها سوءاستفاده میکنند. این رابطها و زبانها در اکثر سیستمها به صورت پیشفرض وجود دارند. مهاجمان میتوانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترلهای امنیتی و ایجاد پایداری استفاده کنند.