تحلیل هشدار - ESCU - Detect mshta inline hta execution

چرا این هشدار صادر می‌شود؟

این هشدار زمانی فعال می‌شود که ابزار سیستمی mshta.exe با آرگومان‌های خط فرمانی که شامل کلمات کلیدی javascript، vbscript یا about هستند، اجرا شود. این الگو نشان‌دهنده اجرای مستقیم کد اسکریپت به صورت "درون‌خطی" (Inline) است. مهاجمان از این تکنیک برای اجرای پیلودهای مخرب بدون نیاز به ایجاد فایل روی دیسک استفاده می‌کنند که شناسایی آن را برای آنتی‌ویروس‌ها دشوارتر می‌کند.

Detection: Detect mshta inline hta execution - Rule
Technique: T1218.005 (Signed Binary Proxy Execution: Mshta)

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

اجرای مستقیم توابع مخرب vbscript: یا javascript: برای دانلود و اجرای بدافزار (مانند پیلودهای Cobalt Strike).
اجرای mshta توسط فرآیندهای والد مشکوک مانند ماکروهای آفیس (Word, Excel) یا PowerShell.
اجرای کدهای طولانی و مبهم‌سازی شده (Base64 یا Hex) در خط فرمان mshta.

سناریوهای متوسط

استفاده از پروتکل about: برای اجرای محتوای HTML پویا.
اجرای دستور توسط کاربری که معمولاً وظایف توسعه نرم‌افزار یا مدیریتی ندارد.

سناریوهای کم‌خطر (مثبت کاذب)

برخی نرم‌افزارهای قدیمی یا اسکریپت‌های لاگین سازمانی که از HTA برای نمایش رابط کاربری استفاده می‌کنند.

ارزیابی خطر و اولویت‌بندی

برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:

نشانه قطعی خطر: وجود کدهای اسکریپتی (VBS/JS) در خط فرمان mshta.exe که سعی در دانلود فایل یا اجرای دستورات سیستمی (مانند cmd.exe) دارند.

بررسی والد: چه فرآیندی mshta را اجرا کرده است؟ (آفیس، پاورشل، WMI).
تحلیل کد: اسکریپت موجود در خط فرمان چه کاری انجام می‌دهد؟ (آیا مبهم است؟).
ارتباطات شبکه: آیا mshta سعی در برقراری ارتباط با اینترنت یا دامین‌های مشکوک دارد؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Endpoint Data (Process Creation)
Sysmon Event ID 1
Windows Security Event 4688

دیتامدل‌های مورد استفاده

Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در اسپلانک، این فیلدها حیاتی هستند:

Processes.process (Command Line)

Processes.parent_process_name

Processes.dest

Processes.user