CHM文件介紹
HM文件,即�,微軟在1998年推出的基于HTML文件特性的幫助文件系統(tǒng):已編譯的幫助文件(*.chm�,Compiled Help Manual)�。
CHM文件可以在手機�、平板或電腦上打開,支持全文檢索和超鏈接�����,同時因為非常強大的兼容性和極為優(yōu)秀的閱讀體驗�����,使之成為一種普及十分廣泛的電子書�,能有效地幫助企業(yè)或個人實現(xiàn)對信息的檢索���、查閱���、共享及備份�����。
【應用場景】
① 作品集:匯總�����、集錦�����、大全、合集�����、全集�、選集���、系列�����、薈萃���、精編�、精選�、珍藏、排行、寶典、指南、導航�����、攻略�����、檔案���、紀實�、案例�、備忘、禁忌、雞湯…
② 使用說明:幫助文件�����、用戶手冊�����、技術支持、產(chǎn)品介紹、操作說明���、參考案例、常見問題�、規(guī)章制度���、員工手冊…
③ 教程手冊:學習考試�����、技術儲備、職業(yè)培訓���、商業(yè)推廣、游戲攻略���、數(shù)碼測評、咨詢顧問�、理財保險�、資源共享���、文件備份…
④ 生活休閑:美食�����、購物�、寵物�、攝影、旅游、減肥���、健身、養(yǎng)生���、影視娛樂�����、時尚八卦…
⑤ 個人百科全書:工作�、生活、教育�、醫(yī)療等各類資料的匯總���、收藏�����、備份、共享…
⑥ 個人資料庫:小說�����、文章�、博客、日記�、感悟…
【備注】
a. CHM文件是一種用LZX算法壓縮的HTML文件集�����,可用Microsoft HTML Help Workshop制作。
b. CHM文件有目錄���、索引和搜索等功能,被IE瀏覽器支持的JavaScript�、VBScript���、ActiveX�����、Java Applet、Flash�����、HTML圖形文件(*.gif���,*.jpeg�����,*.png)、音頻視頻文件(*.mid�����,*.wav�,*.avi)等,CHM文件同樣支持,并且可以通過URL與互聯(lián)網(wǎng)聯(lián)系在一起�����。
c. 用于制作CHM文件的源文件的文件格式不限�����。
過調用Windows命令�����,將chm 文件轉換為html 文件。
方法:
命令行(cmd)���,輸入hh -decompile <輸出文件夾路徑> <要反編譯的CHM文件全路徑名>
例如:
win+r 鍵,彈出運行窗口輸入命令cmd回車,然后輸入:
述
近期�,奇安信威脅情報中心在日常的樣本運營中���,捕獲了多例實戰(zhàn)攻防演習樣本�。樣本主要以“薪酬調整”�、“審核材料”�、“局處級干部進修”、“攻防演習”等話題為誘餌�����。與往年不同的是,今年實戰(zhàn)攻防演習攻擊隊投遞的樣本普遍具有比較好的免殺性,大部分樣本在VirusTotal報毒較少甚至0查殺���。但通過奇安信威脅情報中心紅雨滴高對抗沙箱自動化分析平臺,我們輕松捕獲到了絕大部分樣本的真實惡意行為。而部分樣本僅有紅雨滴高對抗沙箱能夠觸發(fā)完整的行為�,甚至號稱業(yè)界最強的anyrun沙箱也無能為力�,這足以體現(xiàn)紅雨滴沙箱惡意樣本對抗分析引擎的強大���!
在對樣本進行詳細分析后�,我們總結了近期實戰(zhàn)攻防演習攻擊隊樣本的一些特點。在本文中,我們將對比較有代表性的樣本進行分析介紹���,希望幫助讀者從多個方面了解和防范此類攻擊。
案例:利用CHM執(zhí)行PowerShell腳本的樣本分析
樣本基本信息
紅雨滴沙箱報告鏈接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXhnj3KKxyHYZ1u3stXj |
樣本文件名 | 攻防演習補丁檢測使用手冊.CHM |
樣本MD5 | c75eb38c9628123c49d0919178998704 |
樣本類型 | MS Windows HtmlHelp Data(CHM) |
樣本大小 | 21575字節(jié) |
RAS檢測結果 | CHM_Exec(攜帶了可執(zhí)行代碼的高危CHM文件) |
樣本基因特征 | 可疑程序 持久化 HTTP通信 解壓執(zhí)行 探針 powershell 下載者 檢測虛擬機 釋放執(zhí)行 檢測沙箱 聯(lián)網(wǎng)行為 icmp流量 注入 |
網(wǎng)絡行為 | http://42[.]51.29.104:7777/a |
使用紅雨滴沙箱分析樣本
CHM 文件格式是微軟推出的基于HTML文件特性的幫助文件系統(tǒng)格式���, CHM 類型文件又稱作“編譯的 HTML 幫助文件”(Compiled HTML Help file)。 而利用CHM格式文件hhctrl控件的靈活易用性,可以成功執(zhí)行任意可執(zhí)行程序�����,且沒有UAC告警�。所以近年來利用CHM文件投遞惡意代碼早已成為攻擊者的常用手段之一,而用戶對于CHM幫助文檔文件的警惕性往往比EXE文件要低很多�,這使得攻擊者更加容易誘騙受害者打開此類惡意文檔�����,從而入侵計算機。 |
本次發(fā)現(xiàn)的一例針對防守方的釣魚樣本以攻防演習為誘餌投遞<攻防演習補丁檢測使用手冊.CHM>文件。該CHM文件在用戶電腦上運行之后���,將會連接攻擊者的C&C服務器下載后續(xù)PayLoad到本地加載執(zhí)行以實現(xiàn)對用戶主機的完全控制。
首先,使用TI賬戶登錄威脅情報中心威脅分析平臺(https://ti.qianxin.com/)后,選擇文件分析選項卡���,既可拖拽投遞需要分析的樣本文件:
圖1 Alpha分析平臺紅雨滴沙箱入口
也可以通過訪問紅雨滴沙箱入口(https://sandbox.ti.qianxin.com/sandbox/page)上傳待分析文件:
圖2 紅雨滴高對抗沙箱分析入口
在上傳待分析文件后�����,可以手動設置沙箱分析參數(shù):分析環(huán)境(操作系統(tǒng))�、分析時長等���。而紅雨滴高對抗沙箱由于針對各類樣本已經(jīng)做足了智能化判定�����,所以基本上以默認方式提交檢測即可:
圖3 紅雨滴沙箱樣本分析適配頁面
沙箱檢測結果解讀
點擊“開始分析”按鈕后�����,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數(shù)分鐘則可以看到整個樣本的詳細分析報告�。
紅雨滴沙箱報告結構
沙箱報告主的頭部要分為兩大部分:左側的報告內容(可上下滑動)和右側的導航欄�。
圖4 紅雨滴沙箱分析報告首頁概覽
分析人員可以通過右側的導航欄點擊選擇需要即時查看的針對性沙箱報告內容�。導航欄包括樣本分析和關聯(lián)相關的11大維度:概要信息、威脅情報���、AV引擎、行為異常�、靜態(tài)分析�、深度解析�、主機行為、網(wǎng)絡行為�、釋放文件�、運行截圖���、社區(qū)�。
我們以該CHM樣本為例,簡單介紹紅雨滴高對抗沙箱報告中的幾大功能和內容���。
樣本概要信息和威脅情報關聯(lián)
紅雨滴沙箱報告頂端是對該樣本檢測的概要信息和威脅情報關聯(lián)信息。其中概要信息包括文件的MD5�、SHA1���、SHA256等HASH信息,文件類型���、文件大小、本次沙箱檢測的操作系統(tǒng)環(huán)境信息�、文件信譽���、RAS檢測�、基因特征等信息。
此外�����,惡意評分位于概要信息右側�,是紅雨滴沙箱基于樣本分析的所有維度針對該樣本的智能判斷,分別有4類不同的判定結果:惡意�、可疑���、未發(fā)現(xiàn)風險���、安全�����。很顯然,該樣本被明確標記為了惡意樣本�。
圖5 紅雨滴沙箱惡意評分
文件信譽一欄則表明了該樣本已經(jīng)被云端標記為惡意樣本�,且惡意家族為Trojan�����。
圖6 紅雨滴沙箱文件信譽判斷
RAS檢測結果則是紅雨滴團隊自研的APT樣本檢測引擎對該樣本深度掃描的結果�����,可以看到該樣本被RAS引擎檢測為CHM_Exec�����,也就是攜帶了可執(zhí)行代碼的高危CHM文件���。
圖7 紅雨滴沙箱RAS檢測結果
基因特征則是紅雨滴沙箱基于動靜態(tài)行為識別的樣本動靜態(tài)相關的標簽�����,可疑看到該樣本具有:可疑程序 powershell 下載者 聯(lián)網(wǎng)行為等惡意標簽信息。
圖8 紅雨滴沙箱基因特征檢測結果
威脅情報一欄則會基于紅雨滴沙箱檢測及觸發(fā)的相關IOC對象進行關聯(lián)匹配�����,這里可以看到該樣本執(zhí)行后訪問了一個境內已經(jīng)被標記為攻防演練的IP地址�����,而樣本本身也被標記為木馬���。
圖9 威脅情報關聯(lián)信息
行為異常
紅雨滴高對抗沙箱針對分析的樣本智能的輸出了豐富的行為異常分析結果���,分別會以紅色�、粉色和綠色順序排列樣本執(zhí)行過程中的異常行為�����,紅色代表高危�����,粉色代表中危�,綠色代表一般的低危行為。
而通過該樣本的行為異??芍?,樣本創(chuàng)建了PowerShell進程�,并且利用PowerShell向某個IP地址進行了下載執(zhí)行的高危操作。
圖10 紅雨滴沙箱行為異常結果
文件深度解析
文件深度解析是紅雨滴沙箱內置的自研RAS引擎的又一大獨創(chuàng)的亮點功能。其主要設計思路為應對復雜的抽象文件形態(tài):壓縮包、復合二進制文檔���、郵件、多層包裹/壓縮/加殼后的復雜文件體等等。引擎通過層層遞歸“解包”拆解的方式�,將目標“文件”的所有“外衣”剝離�����,并通過獨有的文件內部父子關系描述能力,獲取文件特有的基因特征:包括復合二進制文檔的屬性信息�����、URL、OLE、宏信息���、PE文件的殼、包、子流HASH、多文件關系信息等基因信息���。
而通過紅雨滴高對抗沙箱集成的文件深度解析能力,我們通過沙箱報告很輕松的就可以發(fā)現(xiàn)暗藏于CHM文件HTML腳本中的惡意PowerShell腳本。分析人員完全不需要對分析文件進行本地化操作���,即可輕松發(fā)現(xiàn)暗藏的惡意代碼,非常的方便快捷。
圖11 紅雨滴沙箱文件深度解析結果
圖12 紅雨滴沙箱文件深度解析結果
主機行為及網(wǎng)絡行為
紅雨滴沙箱提供的主機行為分析圖則非常的簡潔明了,通過該樣本的主機行為分析圖�����,我們一眼就看出了惡意樣本的執(zhí)行流程:通過系統(tǒng)自帶的hh.exe打開CHM文檔后便觸發(fā)執(zhí)行了PowerShell.exe進程�,而PowerShell最終訪問了IP地址:42[.]51.29.104。
圖12 紅雨滴沙箱主機行為信息
而進程鏈信息也清晰的展示了整個執(zhí)行過程,以及PowerShell.exe進程所執(zhí)行的腳本信息���。
圖13 紅雨滴沙箱進程鏈信息
運行截圖
紅雨滴沙箱提供的運行截圖也可以清晰的觀察樣本的執(zhí)行過程,在這里可以清楚的看到CHM文檔打開后的文檔內容。
圖14 紅雨滴沙箱運行截圖
紅雨滴沙箱格式化報告下載
紅雨滴沙箱還提供了生成三類格式化報告的功能���,分別有:WORD報告�、HTML報告和PDF報告,滿足了分析人員快速輸出對應報告的需求���,注冊用戶通過點擊概要信息底部的按鈕,便可即刻生成下載對應的沙箱格式化報告�����。
圖15 紅雨滴沙箱自動生成的WORD報告
圖16 紅雨滴沙箱自動生成的PDF報告
紅雨滴沙箱人工分析服務
最后�����,紅雨滴沙箱還提供了人工分析服務�,如果樣本分析失敗或者分析結果明顯有誤�����,都可以通過點擊概要信息底部的人工分析按鈕進行反饋�。
圖16 紅雨滴沙箱人工分析入口
圖16 紅雨滴沙箱人工分析提交頁面
樣本分析總結
至此�,通過紅雨滴高對抗沙箱的輔助分析,我們很容易借助沙箱的幫助出具一份較為詳細的分析報告���,還是以該CHM樣本為例:
- CHM樣本運行后,會自動加載執(zhí)行html文件
- Html文件會進一步調用執(zhí)行PowerShell并從http://42[.]51.29.104:7777/a加載后續(xù)Payload
- 后續(xù)下載到的Payload為CS框架生成的標準PowerShell加載器���,該加載器會解碼硬編碼在文件中的Base64字符串并解壓縮執(zhí)行第二段PowerShell指令
|
圖14 CHM樣本html腳本信息
第二段Powershell依舊是解碼硬編碼的數(shù)據(jù),循環(huán)解密之后通過Invoke加載執(zhí)行�����。
圖15 CHM樣本遠程加載的PowerShell代碼
關于紅雨滴高對抗沙箱
紅雨滴高對抗沙箱是威脅情報中心紅雨滴團隊基于多年的APT高級攻防對抗經(jīng)驗�、安全大數(shù)據(jù)、威脅情報等能力���,使用軟、硬件虛擬化技術開發(fā)實現(xiàn)的真正的“上帝模式”高對抗沙箱�����,協(xié)助奇安信威脅情報中心及相關安服和客戶發(fā)現(xiàn)了多個在野0day漏洞攻擊�����、nday漏洞攻擊,和無數(shù)計的APT攻擊線索及樣本�����,是威脅情報數(shù)據(jù)產(chǎn)出的重要基石�����。
威脅情報中心紅雨滴高對抗沙箱早在一年多以前便是奇安信所有產(chǎn)品中唯一被業(yè)內權威威脅分析廠商VirusTotal所集成的威脅分析類產(chǎn)品:
https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
圖16 紅雨滴沙箱已集成VirusTotal
并且�����,紅雨滴沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產(chǎn)品�����,部分高危樣本可以通過點擊BEHAVIOR選項卡查看到VirusTotal-紅雨滴沙箱的分析報告:
https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
圖16 VirusTotal樣本動態(tài)分析結果中集成的紅雨滴沙箱分析結果
參考鏈接
[1].https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXhnj3KKxyHYZ1u3stXj
