CHM(Microsoft Compiled HTML Help)文件是微软开发的帮助文件,是经过编译和压缩的HTML格式。它主要用于向用户提供帮助,例如如何使用应用程序和培训指南,但它也通过在内部 HTML 中插入恶意脚本来执行恶意操作。事实上,许多攻击团体正在利用 CHM 文件的特征来传播恶意软件。
近日,多起伪装成国内金融公司正常通知的CHM恶意软件被证实。当 CHM 中的恶意脚本执行时,该恶意软件会创建并执行其他恶意文件。在执行过程中,安装AhnLab产品的文件夹信息被窃取,并检查AhnLab产品是否存在。众所周知,攻击者添加功能是为了提高攻击成功率并在短时间内分发变体。我们来看看CHM恶意软件的运行和变化过程。
CHM 文件被认为是通过电子邮件附件以压缩形式分发的。通过AhnLab的基础设施识别出的CHM恶意软件的代表性文件名如[表1]所示。
[表1] 分发文件名
他们都冒充国内金融公司,以国内用户为主要目标。当您运行 CHM 文件时,用户的 PC 屏幕上会出现以下四种类型的帮助窗口。
[图1] 关于冒充境内信用卡公司的通知
[图1] 是冒充国内信用卡公司的通知。本通知包括调整卡的使用限额和合同期限的信息。
[图2] 冒充国内保险公司的通知
[图2] 是一张冒充国内保险公司的通知,上面显示的是实际的合同详情,包括合同号、保险费等。
[图3] 关于冒充境内证券公司的通知
[图3] 为冒充境内证券公司的公告。本通知中包含的内容包括交易详细信息,例如账号和股息信息。
【图4】冒充境内银行公司的通知
[图4] 是冒充国内银行的通知。本通知明确了金融交易信息、产品合同等信息。通知中包含的所有信息均被假定为实际交易详细信息,并且似乎使用了被盗的个人信息。
恶意软件分析
1. 类型(1)
[图5] 操作流程-类型(一)
AhnLab 证实,最近发现的 CHM 恶意软件正在以各种类型进行分发。首先,查看第一种分布式类型(1),CHM 文件中存在的恶意脚本对 CHM 文件进行反编译,然后执行生成的 JSE 文件。此 JSE 文件会下载并执行其他恶意文件。经确认,下载的文件是InfoStealer类型的恶意软件,它窃取了AhnLab产品安装路径中的用户信息和文件夹信息。
1.1. CHM
[图6] CHM内的HTML – 类型(1)
当您运行 CHM 时,内部 HTML 会运行,但此 HTML 包含恶意脚本。如图6所示,恶意脚本通过getElementById()函数找到具有“par”ID属性的元素,然后使用innerHTML()函数将数据插入到该元素中。总共插入了两条数据,分别是ID为“A”和“B”的对象。该对象包含执行恶意操作的指令,并通过 Click() 函数执行。该命令首先反编译“C:UsersPublicLibraries”路径下的CHM文件,并通过wscript执行反编译创建的“Docs.jse”文件。
1.2. JSE
[图7] 解码后的JSE
“Docs.jse”文件是编码的JavaScript,解码后的代码如图7所示。用于恶意操作的字符串被编码,攻击者似乎隐藏了某些字符串以绕过文件诊断。攻击者在Run键中注册“Docs.jse”文件以实现持久化。然后,它尝试通过 PowerShell 命令下载其他恶意文件。其他恶意文件会在“%tmp%alg.exe”路径中下载并执行。
- 下载地址:hxxps://atusay[.]lat/kxydo
1.3. 信息窃取者
[图8] alg.exe主要功能
下载并执行的“alg.exe”文件是一种用.NET编写的信息窃取者类型的恶意软件,它会窃取用户信息,例如驱动器、文件夹和浏览器信息。一些用于恶意操作的字符串的编码方式与 JSE 文件相同。使用ASE和Base64算法进行编码。
[图9] 创建文本文件来存储被盗信息
在窃取用户信息之前,该信息窃取恶意软件首先在公共图片文件夹(PublicPictures)路径中创建一个“随机名称.txt”文件。该文件是包含被盗信息的文本文件。
[图10] 驱动器信息
创建文本文件后,驱动器信息被盗。驱动器类型和格式、总大小和总可用空间等信息保存在文本文件中。
[图11] 文件夹和文件信息
然后,它会窃取有关特定文件夹的信息。将文件夹中存在的文件名、文件大小、文件夹名称和修改时间保存在之前创建的文本文件中。
[图12] 窃取AhnLab产品的安装文件夹信息
[表2] 盗窃目标列表(文件夹信息
[表2] 是被劫持的文件夹列表,包含AhnLab产品的安装路径。据推测,攻击者收集此信息是为了确定 PC 上安装的 AhnLab 产品的信息。在稍后介绍的“类型(2)”中,已确认恶意软件的流程根据公司的产品信息而变化。
[图13] 浏览器信息
[表3] 劫持目标列表(浏览器信息)
上述过程完成后,浏览器信息就被窃取了。浏览器中,主要攻击目标是Chrome和Edge。将有关存储浏览器配置文件和扩展信息的文件夹的信息添加到文本文件中。本地扩展设置文件夹、Web 数据、历史记录、书签和登录数据文件以 ZIP 格式压缩并添加到压缩文件中。
[图14] 最近的文件信息
[表4] 盗窃目标列表(最近使用的文件信息)
此外,它还窃取最近使用的文件列表信息,目标列表如[表4]所示。将所有相关文件夹添加到压缩文件中,并将相关注册表项值添加到文本文件中。
[图15] 被盗信息上传
最后,攻击者将包含被盗信息的文本文件添加到压缩文件中,然后将压缩文件上传到攻击者的服务器。
- 命令与控制:hxxps://plifty[.]lat/uEH5J.html
[图16] 命令执行
之后,文本文件和压缩文件将被删除,并且可以使用从攻击者服务器接收到的响应数据来执行其他命令。此时,执行使用cmd的命令,攻击者利用窃取的信息执行其他恶意操作。
2. 类型(2)
[图17] 操作流程-类型(二)
直到执行JSE文件的过程为止,类型(2)与类型(1)相同。不过,添加了检查 JSE 文件中是否存在 AhnLab 产品的功能,并且下载文件的功能也进行了轻微修改。此外,当 AhnLab 产品存在和不存在时,执行下载文件的方法也有所不同。
2.1. CHM
[图18] CHM内的HTML – 类型(2)
CHM的功能与式(1)相同。CHM 中的恶意脚本执行两个命令并反编译“C:UsersPublicLibraries”路径中的 CHM 文件。通过反编译创建的“Docs.jse”文件通过Windows Script Host(Wscript)执行。
- 命令1:hh,-decompile C:UsersPublicLibraries [CHM执行路径]
- 命令 2: wscript,C:UsersPublicLibrariesDocs.jse P
2.2. JSE
攻击者将用于执行恶意操作的字符串以编码形式隐藏在“Docs.jse”文件中,该文件的解码方式与类型(1)相同,并将其他恶意文件下载到“%tmp%alg.exe”路径. 尝试一下。
- 下载网址:hxxps://oebil[.]lat/dcgdi
[图19] 测试AhnLab产品的存在
如果有什么特别之处的话,在类型(2)中添加了检查AhnLab产品是否存在的功能。首先检查“C:Program FilesAhnLab”路径下的文件夹是否存在,如果存在,则获取该文件夹内的子文件夹列表,并再次检查是否存在包含字符串“V3”的文件夹。如果满足所有相关条件,则确定存在 AhnLab 产品。
[图20] 根据AhnLab产品的有无而变化的行为
如果AhnLab产品不存在,则下载的文件会立即通过Exec执行,但如果存在AhnLab产品,则将下载的文件注册到下面的注册表项中,以便在系统启动时自动执行。
注册表项
[表5]运行键注册
2.3. 信息窃取者
下载并执行的“alg.exe”文件属于infostealer类型,与类型(1)类似,但窃取的信息、存储和传输方式略有不同。
[图21] 窃取驱动器信息-类型(2)
首先,驱动器信息被窃取的方式与类型(1)相同。这时,不要将窃取的信息存储在文本文件中,而是创建一个StringBuilder对象,然后将其保存在该对象中,以防止记录文件创建情况。
[表6]被盗目标列表(文件夹信息)
之后,有关特定文件夹的信息被盗。被盗信息的文件名、文件大小、文件夹名称、文件夹内的修改时间与类型(1)相同。然而,被劫持的文件夹发生了变化,如[表6]所示。与之前包含 AhnLab 产品的安装文件夹不同,这次您可以看到它已被排除。
[图22] 窃取鲸鱼浏览器信息
接下来,它会窃取浏览器信息。类型 (2) 针对 Chrome 和 Edge,以及 Whale 浏览器。此外,类型 (1) 将窃取的信息存储为纯文本,而类型 (2) 将其编码为 Base64 并将其存储为反转值。
[图23] 被盗信息上传
编码后的窃取信息最终以 JSON 格式上传到攻击者的服务器。由于从服务器接收附加响应的代码已被删除,因此假设类型(2)仅用于信息泄漏。
- C&C:hxxps://firenprakaze[.]store/noxilamus/asadabura
3. 类型(3)
[图24] 操作流程-类型(3)
类型(3)是类型2的变种,它在CHM内部包含恶意可执行文件,因此在反编译CHM文件后立即执行。以前,最终的可执行文件安装了 Infostealer 恶意软件,但类型 (3) 安装了后门。
3.1. CHM
[图25] CHM内的HTML – 类型(3)
CHM内部的恶意脚本如图25所示。该恶意脚本也以与类型(2)相同的方式执行两个命令。该命令反编译“C:\Users\Public\Music”路径中的CHM文件,并运行由此创建的“audiodg.exe”文件。对于类型(3),改变了反编译路径,并删除了执行JSE文件的过程。
- 命令1:hh, -decompile C:\Users\Public\Music [CHM执行路径]
- 命令 2:C:\Users\Public\Music\audiodg.exe
3.2. 后门
[图26] AhnLab产品安装文件夹
“audiodg.exe”仅窃取驱动器信息和有关特定文件夹的信息。目标文件夹是 Program Files 文件夹和 AhnLab 产品安装文件夹。被盗信息采用与类型(2)相同的方式进行编码,并以JSON格式上传到攻击者的服务器。
[图27] 被盗信息上传
然后,从服务器接收响应值。确认该值是通过Base64编码的数据。
- C&C:hxxps://urbiusla[.]homes/acalacara/greatone
[图28] 数据加载
目前无法连接服务器,因此无法确认实际收到的数据。然而,分析代码的结果表明,攻击者对接收到的数据进行解码,将其加载到内存中,并通过传递所需的恶意数据来执行其他恶意操作。
类型(3)窃取的信息是驱动器和简单文件夹信息,比类型(1)和类型(2)进一步减少。考虑到这一点,类型(3)似乎更注重尝试额外的攻击,而不是窃取信息。
结论
最近,许多攻击组织(例如 APT)正在创建和传播 CHM 恶意软件的变体。当恶意CHM文件被执行时,用户的PC屏幕上只会创建一个伪装成正常通知的帮助窗口,使得用户很难注意到恶意活动。
经证实,本文介绍的CHM文件传播Infostealer恶意软件以收集用户PC信息,然后添加针对相关PC定制的恶意软件功能,最终传播后门恶意软件。此外,攻击者还尝试通过各种字典攻击进行更复杂的攻击。
因此,用户应避免阅读来源不明的电子邮件,也不应随意执行附件。此外,我们建议您定期扫描您的电脑并将安全产品的引擎更新到最新版本。
转载来源:https://www.soft2000.com/44857
图片来源网络侵权可联系删除
