已编译的 HTML 文件

已编译的 HTML 文件 (.chm) 通常作为 Microsoft HTML 帮助系统的一部分分发。
CHM 文件是各种内容（如 HTML 文档、图像）和编程语言相关的脚本/web（如 VBA、JScript、Java 和 ActiveX) 的压缩编译。
CHM 内容使用由 HTML 帮助可执行程序 (hh.exe) 加载的 Internet Explorer 浏览器 的底层组件显示。

攻击者可能会滥用这项技术来隐藏恶意代码。
将包含嵌入式有效载荷的自定义 CHM 文件交付给受害者，然后通过用户执行 (User Execution) 触发。
CHM 的执行也可以绕过旧系统和/或未打补丁的系统上的应用程序白名单，这些系统不考虑通过 hh.exe 执行二进制文件。

缓解

考虑阻止已知在攻击活动中使用的可能不常见的文件类型的下载/传输和执行，比如 CHM 文件。
如果给定的系统或网络不需要 hh.exe，还可以考虑使用应用程序白名单来阻止 hh.exe 执行，防止潜在的攻击者滥用。

检测

监视和分析 hh.exe 的执行和参数。 将 hh.exe 最近的调用与先前已知良好参数的调用进行比较，以确定异常和潜在的攻击活动（例如：混淆和/或恶意命令）。非标准进程执行树也可能表明可疑或恶意行为，例如 hh.exe 是与其他攻击技术相关的可疑进程和活动的父进程。

监视 CHM 文件的存在和使用，特别是如果它们在环境中不按照典型的方式使用。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn