det0440-detecting-powershell-execution-via-syncappvpublishingservervbs-proxy-abu

# DET0440 — Detecting PowerShell Execution via SyncAppvPublishingServer.vbs Proxy Abuse ## Descrição O `SyncAppvPublishingServer.vbs` é um script VBScript legítimo do Windows relacionado ao App-V (Application Virtualization) que possui a capacidade de executar código PowerShell arbitrário como argumento. Adversários exploram esse comportamento para invocar comandos PowerShell maliciosos por meio de um script assinado pela Microsoft, contornando políticas de execução e controles de Application Whitelisting (AWL) que permitem a execução de binários e scripts com assinatura Microsoft. Essa técnica é classificada como uma forma de LOLBin (Living-off-the-Land Binary) abuse e é particularmente eficaz contra ambientes que confiam em assinaturas digitais como mecanismo principal de controle. O adversário invoca `wscript.exe SyncAppvPublishingServer.vbs "payload_powershell"`, onde o payload pode ser um comando base64-encoded ou uma chamada a um stager remoto. A detecção requer monitoramento de chamadas a `SyncAppvPublishingServer.vbs` como argumento de `wscript.exe` ou `cscript.exe`, especialmente com argumentos adicionais que contenham comandos PowerShell. A correlação com a ausência de atividade legítima do App-V no ambiente e a presença de argumentos incomuns é fundamental para distinguir uso malicioso do legítimo. ## Indicadores de Detecção - Linha de comando contendo `SyncAppvPublishingServer.vbs` com argumentos PowerShell (especialmente encodados em Base64) - Processo pai `wscript.exe` ou `cscript.exe` invocando `SyncAppvPublishingServer.vbs` em ambientes sem App-V instalado - Processo filho PowerShell criado a partir de `wscript.exe` com argumentos de download ou execução remota - Ausência de processo legítimo de públicação App-V antes da execução do script - Argumento `-ExecutionPolicy Bypass` ou `-EncodedCommand` na linha de comando de PowerShell filho - Evento Sysmon 1 com `ParentImage` = `wscript.exe` e `Image` contendo `powershell.exe` ## Técnicas Relacionadas - [[T1059001-powershell|T1059.001 — PowerShell]] - [[T1216-signed-script-proxy-execution|T1216 — Signed Script Proxy Execution]] - [[T1218-signed-binary-proxy-execution|T1218 — Signed Binary Proxy Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an1220-analytic-1220|AN1220 — Analytic 1220]] --- *Fonte: [MITRE ATT&CK — DET0440](https://attack.mitre.org/detectionstrategies/DET0440)*