報(bào)告編號： B6-2018-091801

報(bào)告來源： 360-CERT

報(bào)告作者： Khwarezmia_，merjerson

更新日期： 2018-09-18

0x00 概述

近日360 CERT關(guān)注到ISC發(fā)布一篇關(guān)于mht文檔的分析文章[Malware Delivered Through MHT Files] ，該文章詳細(xì)講述了如何生成mht文檔以及對其生成的惡意文檔進(jìn)行查殺效果測試。

MHT文檔又稱為聚合HTML文檔、Web檔案或單一文件網(wǎng)頁。單個(gè)文件網(wǎng)頁可將網(wǎng)站的所有元素（包括文本和圖形）都保存到單個(gè)文件中。MHT文檔可以由瀏覽器和Office軟件創(chuàng)建。因此，在野攻擊事件中，攻擊者偶爾使用MHT文檔作為載體發(fā)起魚叉和水坑攻擊。從ISC的文章我們可以感知MHT惡意文檔抬頭的趨勢。

0x01 針對Office的攻擊樣本分析

APT32在2017年的攻擊中曾使用MHT惡意文檔作為載體，該文檔內(nèi)包含惡意的VBA代碼。受害者一旦打開文檔，惡意VBA代碼將得到執(zhí)行。此處我們以包含宏的MHT惡意文檔舉例分析，但是使用Office漏洞的MHT惡意文檔同樣需要警惕。

示例樣本MD5：CE50E544430E7265A45FAB5A1F31E529

如圖所示，從文檔981行開始的連續(xù)可見字符經(jīng)過base64編碼

對其解碼后得到ActiveMime文件

從該文件偏移0x32開始使用zlib解壓提取到最原始的對象文件

對其靜態(tài)分析我們可以看到其中的惡意代碼

0x02 針對IE免殺的研究分析

從結(jié)構(gòu)上來講，MHT文件是由multipart組成的，類型有text/html、text/css、application/octet-stream、image等，每個(gè)multipart可使用base64進(jìn)行編碼。

這樣的話，就存在每個(gè)multipart的渲染順序問題。經(jīng)過測試，IE瀏覽器對所有的multipart全部解碼后統(tǒng)一渲染。

針對這個(gè)特性，我們將惡意代碼或者鏈接進(jìn)行拆分繞過殺軟檢測。

我們使用ISC所給示例中的惡意鏈接進(jìn)行測試

對樣本稍加變形

生成MHT文件如下

上傳virustotal檢測，實(shí)現(xiàn)免殺效果

繞過殺軟有以下兩個(gè)原因：

1.對鏈接、腳本進(jìn)行base64編碼，不容易進(jìn)行檢測。

2.可以對鏈接和腳本進(jìn)行拆解，在IE渲染的時(shí)候，在內(nèi)存中完成拼接。增加了殺軟查殺難度。

0x03 總結(jié)

總的來講，根據(jù)過去的經(jīng)驗(yàn)，MHT格式的惡意文檔在如茫茫大海的在野攻擊中占比并不算高。正因如此，在樣本檢測和事件響應(yīng)方面容易被各大廠商和分析人員忽略。360 CERT關(guān)注到在APT組織構(gòu)造的樣本和某些嚴(yán)重的定向攻擊事件中存在MHT惡意樣本并將其認(rèn)定為常見的、重要的惡意樣本類型，且該類型惡意樣本有逐漸增多的趨勢，需要給予更多重視。

0x04 IoC

0x05 時(shí)間線

2018-09-18 360CERT發(fā)布研究報(bào)告

0x06 參考鏈接

1. Malware Delivered Through MHT Files