T1218.005

Mshta

توضیحات

مهاجمان از mshta.exe برای اجرای فایل‌های HTA (HTML Application) مخرب استفاده می‌کنند. HTA فایل‌ها می‌توانند شامل VBScript یا JScript باشند که با سطح دسترسی کامل اجرا می‌شوند. mshta.exe یک باینری امضاشده ویندوز است.

روش‌های شناسایی

نظارت بر اجرای mshta.exe. شناسایی mshta با URL‌های خارجی. بررسی فایل‌های HTA مشکوک. تحلیل رفتار mshta.

روش‌های مقابله

غیرفعال کردن mshta.exe در صورت عدم نیاز. پیاده‌سازی Application Whitelisting. نظارت بر mshta. استفاده از Attack Surface Reduction Rules. استفاده از EDR.

تکنیک اصلی

T1218System Binary Proxy Execution

اجرای proxy با باینری سیستمی

مهاجمان از باینری‌های امضاشده و مورد اعتماد سیستم برای اجرای payload‌های مخرب استفاده می‌کنند. این تکنیک که به عنوان Living off the Land نیز شناخته می‌شود، از ابزارهایی مانند rundll32، regsvr32، mshta، certutil و سایر ابزارهای سیستمی برای دور زدن Application Whitelisting استفاده می‌کند.

سایر زیرتکنیک‌ها (3)

T1218.003 · CMSTP T1218.010 · Regsvr32 T1218.011 · Rundll32