LetsDefend level 1 alert SOC164 - Suspicious Mshta Behavior event-id 114
今回のアラート
Low reputation hta file executed via mshta.exe
mshta.exeを使って怪しいhtaファイルが実行された.
mshta.exe Microsoft(R) HTML アプリケーション ホスト – Windows files
Start Playbook!
まず,Ps1.hta(6685c433705f558c5535789234db0e5a)をvirustotalで検索する.
27 security vendors and no sandboxes flagged this file as malicious
ここまで赤いファイルであるなら,Maliciousなファイルであることに違いない.
RobertoのマシンをEndpoint Securityで確認する.
Command Historyを見ると,アラートの元になったコマンド実行の後には怪しいpoweshell scriptの実行もあった.
Process Listを見ると,怪しいpowershell scriptはmshta.exe Ps1.htaで実行されたように見える.
怪しいpowershell scriptがアクセスしていそうなhttp[:]//193.142.58.23/Server.txtもvirustotalで確認してみると
maliciousになっている.Log Managementを見ると193.142.58.23へのアクセスは404が返されていた.
Determine Suspicious Activity
mshta.exeを利用しているケースをLOLBASで検索すると,今回と似たようなケースが見つかる.
Answer: Yes, suspicious
What Is Suspicious Activity?
Answer: Execute
Who Performed the Activity?
mshta.exeの親プロセスはexplorer.exeでした.
Answer: User
Add Artifacts
End
appendix
Malware bazaarで検索すると,今回のPs1.htaのサンプルが見つかる.
Ps1.htaの中身は難読化されていた......