4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC164 - Suspicious Mshta Behavior event-id 114

今回のアラート

SOC164 - Suspicious Mshta Behavior

Low reputation hta file executed via mshta.exe

mshta.exeを使って怪しいhtaファイルが実行された.
mshta.exe Microsoft(R) HTML アプリケーション ホスト – Windows files

Start Playbook!

まず,Ps1.hta(6685c433705f558c5535789234db0e5a)をvirustotalで検索する.

ps1.hta - virustotal

27 security vendors and no sandboxes flagged this file as malicious

ここまで赤いファイルであるなら,Maliciousなファイルであることに違いない.
RobertoのマシンをEndpoint Securityで確認する.
Command Historyを見ると,アラートの元になったコマンド実行の後には怪しいpoweshell scriptの実行もあった.

怪しいpowershell script

Process Listを見ると,怪しいpowershell scriptはmshta.exe Ps1.htaで実行されたように見える.
mshta.exe - process list

怪しいpowershell scriptがアクセスしていそうなhttp[:]//193.142.58.23/Server.txtもvirustotalで確認してみると
powershell scriptのアクセス先

maliciousになっている.Log Managementを見ると193.142.58.23へのアクセスは404が返されていた.

Determine Suspicious Activity

mshta.exeを利用しているケースをLOLBASで検索すると,今回と似たようなケースが見つかる.

https://lolbas-project.github.io/lolbas/Binaries/Mshta/#execute

Answer: Yes, suspicious

What Is Suspicious Activity?

Answer: Execute

Who Performed the Activity?

mshta.exeの親プロセスはexplorer.exeでした.
Answer: User

Add Artifacts

artifacts

End

appendix

Malware bazaarで検索すると,今回のPs1.htaのサンプルが見つかる.

malwarebzaar

Ps1.htaの中身は難読化されていた......
難読化されたvbscript