SyncAppvPublishingServer

攻击者可能滥用SyncAppvPublishingServer.vbs来代理执行恶意的PowerShell命令。SyncAppvPublishingServer.vbs是与Windows虚拟化应用程序（Microsoft Application Virtualization，或App-V）相关的Visual Basic脚本。(引用: 1 - appv) 例如，Windows可能将Win32应用程序呈现给用户作为虚拟应用程序，允许用户像本地安装一样启动和与它们交互。(引用: 2 - appv)(引用: 3 - appv) SyncAppvPublishingServer.vbs脚本是合法的，可能由Microsoft签名，通常通过wscript.exe从\System32通过命令行执行。(引用: 4 - appv)(引用: 5 - appv) 攻击者可能滥用SyncAppvPublishingServer.vbs来绕过PowerShell执行限制，并通过“利用现有资源”规避防御措施。(引用: 6 - appv)(引用: 4 - appv) 代理执行可能作为直接调用powershell.exe的受信任/签名的替代方案。(引用: 7 - appv) 例如，可以使用以下方式调用PowerShell命令：(引用: 5 - appv) SyncAppvPublishingServer.vbs "n; {PowerShell}"