ابزار mshta.exe یک ابزار قانونی ویندوز است که برای اجرای فایلهای .HTA (HTML Application) استفاده میشود. با این حال، این ابزار به طور مکرر توسط مهاجمان برای اجرای کدهای مخرب در قالب تکنیک "Living off the Land" مورد سوءاستفاده قرار میگیرد. این هشدار زمانی فعال میشود که mshta.exe فرآیندهای مشکوکی مانند powershell.exe، cmd.exe، scrcons.exe یا مفسرهای اسکریپتی مانند cscript.exe را به عنوان فرزند (Child Process) ایجاد کند. این رفتار معمولاً نشاندهنده اجرای یک پیلود مخرب یا تلاش برای استقرار در سیستم است.
powershell.exe یا cmd.exe توسط mshta: این قویترین نشانه است که یک اسکریپت HTA سعی دارد دستورات سیستمی اجرا کرده یا بدافزار دانلود کند.scrcons.exe (WMI Standard Event Consumer): نشاندهنده استفاده از WMI برای اجرای اسکریپتهای مخرب از طریق mshta است.cscript.exe یا wscript.exe به عنوان فرزند.برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:
powershell.exe با دستورات کدگذاری شده (Encoded) یا دستورات دانلود فایل که توسط والد mshta.exe فراخوانی شده است.هنگام تحلیل لاگهای سیستمی در اسپلانک، این فیلدها حیاتی هستند: