ATT&CK -

admin 2024年4月15日03:46:22评论4 views字数 610阅读2分2秒阅读模式

已编译的 HTML 文件

已编译的 HTML 文件 (.chm) 通常作为 Microsoft HTML 帮助系统的一部分分发。
CHM 文件是各种内容(如 HTML 文档、图像)和编程语言相关的脚本/web(如 VBA、JScript、Java 和 ActiveX) 的压缩编译。
CHM 内容使用由 HTML 帮助可执行程序 (hh.exe) 加载的 Internet Explorer 浏览器 的底层组件显示。

攻击者可能会滥用这项技术来隐藏恶意代码。
将包含嵌入式有效载荷的自定义 CHM 文件交付给受害者,然后通过用户执行 (User Execution) 触发。
CHM 的执行也可以绕过旧系统和/或未打补丁的系统上的应用程序白名单,这些系统不考虑通过 hh.exe 执行二进制文件。

缓解

考虑阻止已知在攻击活动中使用的可能不常见的文件类型的下载/传输和执行,比如 CHM 文件。
如果给定的系统或网络不需要 hh.exe,还可以考虑使用应用程序白名单来阻止 hh.exe 执行,防止潜在的攻击者滥用。

检测

监视和分析 hh.exe 的执行和参数。 将 hh.exe 最近的调用与先前已知良好参数的调用进行比较,以确定异常和潜在的攻击活动(例如:混淆和/或恶意命令)。非标准进程执行树也可能表明可疑或恶意行为,例如 hh.exe 是与其他攻击技术相关的可疑进程和活动的父进程。

监视 CHM 文件的存在和使用,特别是如果它们在环境中不按照典型的方式使用。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日03:46:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK -https://cn-sec.com/archives/2658167.html

发表评论

匿名网友 填写信息