det0466-detection-of-script-based-proxy-execution-via-signed-microsoft-utilities

# DET0466 — Detection of Script-Based Proxy Execution via Signed Microsoft Utilities ## Descrição Utilitários legítimos assinados pela Microsoft — como `mshta.exe`, `wscript.exe`, `cscript.exe`, `regsvr32.exe`, `certutil.exe` e `msiexec.exe` — podem ser utilizados como proxies para executar scripts e código malicioso, contornando controles de Application Whitelisting (AWL) e soluções de segurança que confiam em assinaturas digitais da Microsoft como indicador de legitimidade. Essa categoria de técnicas, conhecida como LOLBins/LOLScripts (Living-off-the-Land Binaries/Scripts), é amplamente explorada porque os utilitários envolvidos são parte integral do Windows e frequentemente necessários para operações legítimas. O `mshta.exe` pode executar HTA (HTML Application) maliciosos com código VBScript ou JScript; o `certutil.exe` pode decodificar payloads base64 e baixar arquivos de URLs; o `regsvr32.exe` pode executar DLLs e scripts SCT via protocolo COM. A detecção foca na análise comportamental dos argumentos de linha de comando dessas ferramentas, identificando padrões de uso malicioso: argumentos com URLs externas, strings base64, referências a arquivos temporários ou caminhos incomuns, e processos filhos suspeitos criados por esses utilitários. ## Indicadores de Detecção - `mshta.exe` com argumento contendo URL (`http://`, `https://`) ou arquivo em diretório temporário - `certutil.exe -decode`, `certutil.exe -urlcache -f` baixando arquivo de URL externa - `regsvr32.exe /s /n /i:` seguido de URL apontando para script SCT remoto (squiblydoo) - `cscript.exe` ou `wscript.exe` executando script em `%TEMP%` ou `%APPDATA%` com argumento suspeito - `msiexec.exe /q /i` instalando pacote MSI de URL remota por processo não-instalador legítimo - Processo filho suspeito (`powershell.exe`, `cmd.exe` com download) criado por qualquer um desses utilitários ## Técnicas Relacionadas - [[T1216-signed-script-proxy-execution|T1216 — Signed Script Proxy Execution]] - [[T1218-signed-binary-proxy-execution|T1218 — Signed Binary Proxy Execution]] - [[T1218005-mshta|T1218.005 — Mshta]] - [[T1218011-rundll32|T1218.011 — Rundll32]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1288-analytic-1288|AN1288 — Analytic 1288]] --- *Fonte: [MITRE ATT&CK — DET0466](https://attack.mitre.org/detectionstrategies/DET0466)*