T1216.002: Сценарий SyncAppvPublishingServer
Злоумышленники могут воспользоваться сценарием SyncAppvPublishingServer.vbs для выполнения вредоносных команд PowerShell. Сценарий SyncAppvPublishingServer.vbs написан на языке Visual Basic и применяется для виртуализации приложений в Windows (Microsoft Application Virtualization, или App-V). Например, Windows может предоставлять приложения Win32 в качестве виртуальных приложений, которые можно запускать и использовать точно так же, как и локальные приложения.
SyncAppvPublishingServer.vbs является легитимным сценарием, может быть подписан сертификатом Microsoft и, как правило, запускается из каталога \System32
через командную строку с помощью службы wscript.exe
.
Используя легитимный сценарий SyncAppvPublishingServer.vbs, злоумышленники могут проводить атаку Living off the Land, обходить ограничения на выполнение команд PowerShell и защитные механизмы. Выполнение команд при помощи доверенного и подписанного сценария может служить альтернативой прямому вызову powershell.exe
.
Например, команды PowerShell можно выполнить следующим образом:
SyncAppvPublishingServer.vbs "n; {PowerShell}"
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как Syncappvpublishingserver.vbs, способных обеспечивать выполнение вредоносных файлов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте использование сценариев, например процессы сервера сценариев |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. |
---|