Техника на mitre.org

T1218.001: CHM-файл

Злоумышленники могут использовать CHM-файлы (Compiled HTML) для сокрытия вредоносного кода. CHM-файлы обычно используются во встроенной HTML-справке Microsoft. Они представляют собой сжатые файлы, которые создаются при компиляции различного контента, например HTML-документов, изображений, исходного кода на сценарных языках и языках программирования, используемых для веб-разработки, таких как VBA, JScript, Java и ActiveX . Для отображения содержимого CHM-файлов используются базовые компоненты браузера Internet Explorer, загружаемые исполняемым файлом HTML-справки (hh.exe) .

Злоумышленники могут создать CHM-файл с внедренным вредоносным кодом и отправить жертве, которая затем откроет его (техника Выполнение с участием пользователя). Выполнение CHM-файлов может осуществляться в обход механизмов контроля приложений на старых и (или) необновленных системах, которые не отслеживают выполнение бинарных файлов через утилиту hh.exe .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-317: Malicious_CHM_File: Открыт потенциально опасный файл справки

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте наличие и использование CHM-файлов, особенно если они обычно не используются в среде.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте и анализируйте выполнение процесса `hh.exe` и его аргументы . Сопоставляйте недавние вызовы `hh.exe` с историей использования известных допустимых аргументов, чтобы выявить аномальную и потенциально вредоносную активность (например, обфусцированные и (или) вредоносные команды). На подозрительные или вредоносные действия могут также указывать нестандартные деревья выполнения процессов, например если `hh.exe` порождает подозрительные процессы и производит операции, связанные с другими техниками злоумышленников. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает создание процессов исполняемым файлом HTML-справки (`hh.exe`). Злоумышленники могут скрыть вредоносный код в скомпилированных файлах справки с расширением `.chm`; при открытии такого файла пользователем Windows запускает исполняемый файл HTML-справки. Если скомпилированные файлы справки используются в вашей среде в легитимных целях, это может привести к ложным срабатываниям; чтобы этого избежать, следует изменить строку соответствующим образом. Аналитика 1. Вызов справки в формате CHM `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\syswow64\hh.exe" OR Image="C:\Windows\system32\hh.exe"`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подделки токенов SAML с любыми разрешениями и сроками действия при наличии действительного сертификата для их подписи.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте наличие и использование CHM-файлов, особенно если они обычно не используются в среде.
DS0009	Процесс: Создание процесса	Отслеживайте и анализируйте выполнение процесса `hh.exe` и его аргументы . Сопоставляйте недавние вызовы `hh.exe` с историей использования известных допустимых аргументов, чтобы выявить аномальную и потенциально вредоносную активность (например, обфусцированные и (или) вредоносные команды). На подозрительные или вредоносные действия могут также указывать нестандартные деревья выполнения процессов, например если `hh.exe` порождает подозрительные процессы и производит операции, связанные с другими техниками злоумышленников. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает создание процессов исполняемым файлом HTML-справки (`hh.exe`). Злоумышленники могут скрыть вредоносный код в скомпилированных файлах справки с расширением `.chm`; при открытии такого файла пользователем Windows запускает исполняемый файл HTML-справки. Если скомпилированные файлы справки используются в вашей среде в легитимных целях, это может привести к ложным срабатываниям; чтобы этого избежать, следует изменить строку соответствующим образом. Аналитика 1. Вызов справки в формате CHM `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\syswow64\hh.exe" OR Image="C:\Windows\system32\hh.exe"`
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подделки токенов SAML с любыми разрешениями и сроками действия при наличии действительного сертификата для их подписи.

Меры противодействия

ID	M1021	Название	Ограничения для веб-контента	Описание	По возможности блокируйте загрузку, передачу и выполнение файлов необычных типов (например, CHM), о которых известно, что они используются в кампаниях злоумышленников.

ID	M1038	Название	Защита от выполнения	Описание	По возможности используйте контроль приложений для предотвращения выполнения файла hh.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	Название	Описание
M1021	Ограничения для веб-контента	По возможности блокируйте загрузку, передачу и выполнение файлов необычных типов (например, CHM), о которых известно, что они используются в кампаниях злоумышленников.
M1038	Защита от выполнения	По возможности используйте контроль приложений для предотвращения выполнения файла hh.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками.