mht恶意文档投递及免杀研究-博天堂在线开户

发新帖

mht恶意文档投递及免杀研究 行业新闻

威尔德编辑 2018-9-19 90551

报告编号: b6-2018-091801

报告来源: 360-cert

报告作者: khwarezmia_,merjerson

更新日期: 2018-09-18

0x00 概述

近日360 cert关注到isc发布一篇关于mht文档的分析文章[] ,该文章详细讲述了如何生成mht文档以及对其生成的恶意文档进行查杀效果测试。

mht文档又称为聚合html文档、web档案或单一文件网页。单个文件网页可将网站的所有元素(包括文本和图形)都保存到单个文件中。mht文档可以由浏览器和office软件创建。因此,在野攻击事件中,攻击者偶尔使用mht文档作为载体发起鱼叉和水坑攻击。从isc的文章我们可以感知mht恶意文档抬头的趋势。

0x01 针对office的攻击样本分析

apt32在2017年的攻击中曾使用mht恶意文档作为载体,该文档内包含恶意的vba代码。受害者一旦打开文档,恶意vba代码将得到执行。此处我们以包含宏的mht恶意文档举例分析,但是使用office漏洞的mht恶意文档同样需要警惕。

示例样本md5:ce50e544430e7265a45fab5a1f31e529

如图所示,从文档981行开始的连续可见字符经过base64编码

对其解码后得到activemime文件

从该文件偏移0x32开始使用zlib解压提取到最原始的对象文件

对其静态分析我们可以看到其中的恶意代码

0x02 针对ie免杀的研究分析

从结构上来讲,mht文件是由multipart组成的,类型有text/html、text/css、application/octet-stream、image等,每个multipart可使用base64进行编码。

这样的话,就存在每个multipart的渲染顺序问题。经过测试,ie浏览器对所有的multipart全部解码后统一渲染。

针对这个特性,我们将恶意代码或者链接进行拆分绕过杀软检测。

我们使用isc所给示例中的恶意链接进行测试

对样本稍加变形

生成mht文件如下

上传virustotal检测,实现免杀效果

绕过杀软有以下两个原因:

1.对链接、脚本进行base64编码,不容易进行检测。

2.可以对链接和脚本进行拆解,在ie渲染的时候,在内存中完成拼接。增加了杀软查杀难度。

0x03 总结

总的来讲,根据过去的经验,mht格式的恶意文档在如茫茫大海的在野攻击中占比并不算高。正因如此,在样本检测和事件响应方面容易被各大厂商和分析人员忽略。360 cert关注到在apt组织构造的样本和某些严重的定向攻击事件中存在mht恶意样本并将其认定为常见的、重要的恶意样本类型,且该类型恶意样本有逐渐增多的趋势,需要给予更多重视。

0x04 ioc

file namehash
invoice.mhtfe2edf097ad9e50169b1f33dc4c32371134ba0e8e2893aa8899ae003712d1f5a
test.mht9ef544377ab3e301be5643870cfaf0d853bc7b0a603a48ff4651a8bcdf8ac20e
thong tin.doc1210384a9d0ca2e089efab14f2e9f6d55a3824031c1e589b96f854fb96411288

0x05 时间线

2018-09-18 360cert发布研究报告

0x06 参考链接

本文由安全客原创发布
转载,请参考,注明出处:
安全客 - 有思想的安全新媒体



成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加- 918博天堂官网的版权声明 1、本主题所有言论和图片纯属会员个人意见,与博天堂在线开户-918博天堂官网立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者威尔德编辑博天堂在线开户-918博天堂官网享有帖子相关918博天堂官网的版权。
3、博天堂在线开户-918博天堂官网管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者威尔德编辑博天堂在线开户-918博天堂官网的同意。

这家伙太懒了,什么也没留下。
最新回复 (0)
只看楼主
全部楼主
    • 博天堂在线开户-918博天堂官网
      成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加
      2
        立即登录 立即注册 qq登录
免责声明:本站部分资源来源于网络,如有侵权请发邮件(673011635@qq.com)告知我们,我们将会在24小时内处理。
网站地图