att.html文件,ATT&CK技术-T1223-Compiled HTML File

转载 于 2021-07-02 22:24:44 发布 · 303 阅读 · 0
文章标签:

#att.html文件

本文探讨了CHM文件如何被攻击者用来隐藏和执行恶意代码,通过创建自定义的CHM文件,可以绕过旧版或未修补系统的应用程序白名单。尽管一些安全软件能拦截特定命令,但仍然存在白名单绕过风险。关键行为包括hh.exe作为父进程创建其他进程,以及利用Jscript加载项。

CHM文件是各种内容的压缩编译,例如HTML文档,图像和脚本/ Web相关的编程语言,如VBA,JScript,Java和ActiveX。内容使用HTML Help executable program(hh.exe)加载的Internet Explorer浏览器基础组件显示。

攻击者可能滥用此技术来隐藏恶意代码。把嵌入payload的自定义CHM文件可以传送给受害者,然后由用户执行触发。CHM执行还可以绕过旧版和/或未修补系统上的应用程序白名单,这些系统没有监控通过hh.exe执行二进制文件。

0bbcabe0fc09abba5de6cbe9357631ed.png

技术复现

新建一个HTML文件并填入以下内容,使用Easy CHM工具编译成CHM文件。

a4ecb03b6bdb043ab06edece1ee02556.png

CHM CODE EXEC

command exec

height=1>

x.Click();

结果验证

绕过windows defender执行命令

d243b496d976b125c0d59f0d3f7d767b.png

360静态查杀结果

65b5900c1468bde3dd2f6547f08bcd3f.png

360动态防御被绕过

dc00db1fe5baed0617bf0544ca9438bd.png

尝试使用CHM执行远控

尝试通过cmd调用powershell、通过regsvr32执行远程代码、通过hh释放本地文件加载均被拦截。

结果验证

fad945ce6a5028c31ef42baa1d70b3e6.png

威胁取证

虽然防护软件会拦截一些命令的执行,但是在执行calc的时候并没有进行拦截操作,猜测是使用白名单限制,此种方法存在被白名单绕过的风险,在不变更攻击原理的情况下不影响以下规则的检测效果。

进程特征:(级别:高)

# hh.exe作为父进程去创建其他进程,是一种可疑行为

ParentImage contians 'regsvr32.exe'

1e6101c0c2744e1a6451cde831e25657.png

加载项特征:(级别:高)

# 在执行payload创建COM对象时会使用Jscript脚本,这样系统就会调用脚本程序

eventid = 7 AND ImageLoaded contains 'jscript'

ba84b3b5b9d7054c129888bad412f21b.png

参考

弓长帅
关注
ATT)属性之属性说明
neha的博客
06-07 2835
属性是一条带有标签的、可以被寻址的数据。1.属性的结构2.属性句柄属性句柄实际上是一个16位的地址。有效的句柄范围从 0x0001~ 0xFFFF。句柄类似于内存地址、端口号、属性值对应的硬件寄存器地址。3.属性类型一串128位的数字被用来标识属性的类型,这个唯一的标识码就叫作通用唯一识别码(UUID)。16位的UUID如下:4.属性值属性值用于表示设备公开的状态信息。4.1服务通用唯一识别码每一...
制作HTML help文件(转载)
Maple99的专栏
01-09 4082
从Windows 3.X到Windows 95,Windows使用的帮助文件一直都是hlp格式。在Windows 98以后,增加了一种基于HTML文件特征的chm帮助文件,Windows 98称之为Compiled HTML Help File。chm帮助文件是一个统一的窗口,左侧是目录、索引和搜索这三个功能项,通过常见的标签栏进行切换;右侧是Html文件的显示部分,改变了原来帮助文件目录窗口和主
Microsoft Compiled HTML Help / Uncompiled .chm File XML External Entity
weixin_30575309的博客
09-04 269
[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org[+] Source: http://hyp3rlinx.altervista.org/advisories/MICROSOFT-WINDOWS-HTML-HELP-UNCOMPILED-CHM-FILE-XML-EXTERNAL-EN...
邮件附件att00.html,iOS 发邮件,附件中带ATT0000文件
weixin_39901685的博客
06-07 1460
图片发自简书App一、问题描述:通过App内调用接口发带附件的邮件,或者直接在iPhone的Mail中发带附件的邮件时,接收到的邮件会自己添加ATT文件,如果邮件内容为Text格式,那么增加的附件为ATT0000x.txt,如果邮件内容为Html格式,那么增加的附件为ATT0000x.html。二、问题原因这个问题和App程序本身没有关系,是Exchange邮件服务器生成的,Exchange协议要...
html图片att标签,html中img元素的介绍与应用
weixin_33904522的博客
06-27 851
含义在 HTML 中,图像由 标签定义。要在页面上显示图像,你需要使用源属性(src)。src 指 "source"。源属性的值是图像的 URL 地址。 是空标签,意思是说,它只包含属性。src="https://gimg2.baidu.com/image_search/src=http%3A%2F%2Fa4.att.hudong.com%2F27%2F67%2F0130000092182614...
CHM木马(简单高效)
Anonymous
11-13 4962
这是现在网上比较普遍的一种中马方法,主要就是利用CHM可以将可执行文件包含其中,并且利用简单的html就可以让程序自动运行,制作方法非常简单,主要就是木马的选择,由于不知道对方机器上是否用了杀毒软件,也不知道是什么杀毒软件,所以要用绝对不被查杀的木马或是后门程序(自己加壳的方法也不错‘最好是一些不太知名的加壳软件),另外还有用到CHM制作工具,推荐QuickCHM。将木马和html文件放在同一文件
精选资源
ATT&CK手册(修改版)
09-16
ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由美国非营利组织MITRE Corporation开发的一种框架,用于描述和分类网络攻击者的行为战术、技术和过程(TTPs)。这个框架是安全专家们理解和对抗...
精选资源
ATT-CK-CN:ATT&CK实操
02-05
4. hacking:黑客攻击技术,包括各种入侵和渗透方法,是ATT&CK框架中的主要研究对象。 5. attck:ATT&CK框架,用于描述和分类攻击者的行为模式。 【正文】: ATT-CK-CN框架将网络攻击行为分为多个阶段,包括侦察、...
精选资源
ATT&CK手册.pdf
09-20
本手册涉及的核心概念是ATT&CK模型,这是一种由MITRE Corporation开发的攻击框架,用于对攻击者在渗透和入侵过程中使用的手法、技术和程序进行分类和描述。ATT&CK手册将网络安全的视角从防御转向了攻击者的行为,为...
精选资源
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
如何解决下载的CHM文件无法显示网页问题
11-20
如何解决下载的CHM文件无法显示网页问题
chm混淆+qq白利用免杀360主动防御
Sven的忘却日记
05-31 5998
最近有一个网友发给我一个QQ图20190427141352.chm的文件,让我看看是不是木马。根据经验,这种CHM一般都是里面有个html文件,通过js调用com控件,然后间接执行释放出来的木马文件。 使用7z打开这个chm文件,可以看到里面果然有一些exe文件以及dll文件。 双击执行这个chm文件后,果然里面的PcOL.exe被执行了 经过分析这个exe可不简单,不但有腾讯有效数字签名,还...
编辑chm格式的文档
guanguanboy的专栏
10-17 2143
chm (Compiled HTML Help,即“编译的HTML帮助文件”) CHM 文件格式是微软于 1998 年推出的基于 HTML 文件特性的帮助文件系统,以替代早先的 WinHelp 帮助系统。它在 Windows 98 中把 CHM 类型文件称作“编译的 HTML 帮助文件”(Compiled HTML Help file) 1,生成HTML,可以使用windows自带的C:/P...
2021.1.4CHM文档制作(手动制作+软件制作+原理讲解)
热门推荐
xuzhiyongcsdnper
01-04 2万+
目录1.CHM文件起源及原理讲解2.手动制作CHM3.软件制作CHM4.使用Python、C++、Java等语言无脑开发CHM制作工具 1.CHM文件起源及原理讲解 2.手动制作CHM 3.软件制作CHM 4.使用Python、C++、Java等语言无脑开发CHM制作工具 ...
CHM文件显示目录无法显示内容的解决方案
无限迭代中......
09-28 1741
基本概念 CHM文件Compiled HTML Help):CHM是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。 CHM 文件格式是微软于 1998 年推出的基于 HTML 文件特性的帮助文件系统,以替代早先的 WinHelp 帮助系统。它在 Windows 98 中把 CHM 类型文件称作“编译的 HTML 帮助文件”(Compiled HTML...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值