T1216.002: Сценарий SyncAppvPublishingServer

Злоумышленники могут воспользоваться сценарием SyncAppvPublishingServer.vbs для выполнения вредоносных команд PowerShell. Сценарий SyncAppvPublishingServer.vbs написан на языке Visual Basic и применяется для виртуализации приложений в Windows (Microsoft Application Virtualization, или App-V). Например, Windows может предоставлять приложения Win32 в качестве виртуальных приложений, которые можно запускать и использовать точно так же, как и локальные приложения.

SyncAppvPublishingServer.vbs является легитимным сценарием, может быть подписан сертификатом Microsoft и, как правило, запускается из каталога \System32 через командную строку с помощью службы wscript.exe.

Используя легитимный сценарий SyncAppvPublishingServer.vbs, злоумышленники могут проводить атаку Living off the Land, обходить ограничения на выполнение команд PowerShell и защитные механизмы. Выполнение команд при помощи доверенного и подписанного сценария может служить альтернативой прямому вызову powershell.exe.

Например, команды PowerShell можно выполнить следующим образом:

SyncAppvPublishingServer.vbs "n; {PowerShell}"

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска таких сценариев, как Syncappvpublishingserver.vbs, способных обеспечивать выполнение вредоносных файлов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте использование сценариев, например процессы сервера сценариев wscript.exe, которые могут обеспечивать выполнение вредоносных файлов.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Некоторые подписанные сценарии, которые могут использоваться для выполнения других программ, могут быть не нужны в конкретной среде. Используйте контроль приложений, настроенный на блокировку выполнения этих сценариев, если они не требуются для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.