報告編號： B6-2018-091801

報告來源： 360-CERT

報告作者： Khwarezmia_，merjerson

更新日期： 2018-09-18

0x00 概述

近日360 CERT關注到ISC發(fā)布一篇關于mht文檔的分析文章[Malware Delivered Through MHT Files] ，該文章詳細講述了如何生成mht文檔以及對其生成的惡意文檔進行查殺效果測試。

MHT文檔又稱為聚合HTML文檔、Web檔案或單一文件網(wǎng)頁。單個文件網(wǎng)頁可將網(wǎng)站的所有元素（包括文本和圖形）都保存到單個文件中。MHT文檔可以由瀏覽器和Office軟件創(chuàng)建。因此，在野攻擊事件中，攻擊者偶爾使用MHT文檔作為載體發(fā)起魚叉和水坑攻擊。從ISC的文章我們可以感知MHT惡意文檔抬頭的趨勢。

0x01 針對Office的攻擊樣本分析

APT32在2017年的攻擊中曾使用MHT惡意文檔作為載體，該文檔內包含惡意的VBA代碼。受害者一旦打開文檔，惡意VBA代碼將得到執(zhí)行。此處我們以包含宏的MHT惡意文檔舉例分析，但是使用Office漏洞的MHT惡意文檔同樣需要警惕。

示例樣本MD5：CE50E544430E7265A45FAB5A1F31E529

如圖所示，從文檔981行開始的連續(xù)可見字符經(jīng)過base64編碼

對其解碼后得到ActiveMime文件

從該文件偏移0x32開始使用zlib解壓提取到最原始的對象文件

對其靜態(tài)分析我們可以看到其中的惡意代碼

0x02 針對IE免殺的研究分析

從結構上來講，MHT文件是由multipart組成的，類型有text/html、text/css、application/octet-stream、image等，每個multipart可使用base64進行編碼。

這樣的話，就存在每個multipart的渲染順序問題。經(jīng)過測試，IE瀏覽器對所有的multipart全部解碼后統(tǒng)一渲染。

針對這個特性，我們將惡意代碼或者鏈接進行拆分繞過殺軟檢測。

我們使用ISC所給示例中的惡意鏈接進行測試

對樣本稍加變形

生成MHT文件如下

上傳virustotal檢測，實現(xiàn)免殺效果

繞過殺軟有以下兩個原因：

1.對鏈接、腳本進行base64編碼，不容易進行檢測。

2.可以對鏈接和腳本進行拆解，在IE渲染的時候，在內存中完成拼接。增加了殺軟查殺難度。

0x03 總結

總的來講，根據(jù)過去的經(jīng)驗，MHT格式的惡意文檔在如茫茫大海的在野攻擊中占比并不算高。正因如此，在樣本檢測和事件響應方面容易被各大廠商和分析人員忽略。360 CERT關注到在APT組織構造的樣本和某些嚴重的定向攻擊事件中存在MHT惡意樣本并將其認定為常見的、重要的惡意樣本類型，且該類型惡意樣本有逐漸增多的趨勢，需要給予更多重視。

0x04 IoC

0x05 時間線

2018-09-18 360CERT發(fā)布研究報告

0x06 參考鏈接

1. Malware Delivered Through MHT Files