ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1223

术语表: /attack/glossary

已编译的 HTML 文件

已编译的 HTML 文件 (.chm) 通常作为 Microsoft HTML 帮助系统的一部分分发。 CHM 文件是各种内容(如 HTML 文档、图像)和编程语言相关的脚本/web(如 VBA、JScript、Java 和 ActiveX) 的压缩编译。 CHM 内容使用由 HTML 帮助可执行程序 (hh.exe) 加载的 Internet Explorer 浏览器 的底层组件显示。

攻击者可能会滥用这项技术来隐藏恶意代码。 将包含嵌入式有效载荷的自定义 CHM 文件交付给受害者,然后通过用户执行 (User Execution) 触发。 CHM 的执行也可以绕过旧系统和/或未打补丁的系统上的应用程序白名单,这些系统不考虑通过 hh.exe 执行二进制文件。

缓解

考虑阻止已知在攻击活动中使用的可能不常见的文件类型的下载/传输和执行,比如 CHM 文件。 如果给定的系统或网络不需要 hh.exe,还可以考虑使用应用程序白名单来阻止 hh.exe 执行,防止潜在的攻击者滥用。

检测

监视和分析 hh.exe 的执行和参数。 将 hh.exe 最近的调用与先前已知良好参数的调用进行比较,以确定异常和潜在的攻击活动(例如:混淆和/或恶意命令)。非标准进程执行树也可能表明可疑或恶意行为,例如 hh.exe 是与其他攻击技术相关的可疑进程和活动的父进程。

监视 CHM 文件的存在和使用,特别是如果它们在环境中不按照典型的方式使用。