# AN1220 — Analytic 1220 ## Descrição Detecta a execução de SyncAppvPublishingServer.vbs via wscript.exe com uma linha de comando contendo PowerShell embutido, utilizando um interpretador VBScript assinado pela Microsoft como proxy para executar comandos PowerShell maliciosos e contornar restrições de execução. A telemetria inclui criação de processos wscript.exe com argumentos contendo invocações PowerShell, eventos de execução de scripts VBS e atividade de rede subsequente. Essa análise é importante para detectar a técnica LOLBas que usa binários legítimos do Windows para desviar de controles de segurança baseados em assinatura. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218.005-mshta|T1218 — System Binary Proxy Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1059.005-visual-basic|T1059.005 — Visual Basic]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1220](https://attack.mitre.org/detectionstrategies/DET0440#AN1220)*