安天針對CHM銀行木馬的檢測分析及有效防護

1、CHM銀行木馬概述

安天在近期捕獲的樣本中發現了一種利用CHM傳播的銀行木馬，該銀行木馬來源於一種垃圾郵件傳播的附件中。當用戶收到這種垃圾郵件並打開附件中的CHM文件時，惡意軟體就會執行一個小的PowerShell命令，其下載並執行第二階段的PowerShell腳本，當用戶執行腳本時，會創建一個計劃任務來運行惡意軟體，從而獲得持久性。

CHM是微軟專有的在線幫助文件，它由編譯成單一壓縮文件格式的HTML頁面組成，最常用的CHM是離線軟體文檔和幫助指南，這種編譯過的HTML幫助文件已經被惡意軟體作者利用過多次，他們將惡意的Downloader代碼偷偷放入文件中，使其難以被檢測。

圖1.1 傳播銀行木馬的垃圾郵件

目前，此款惡意軟體主要針對巴西的用戶進行傳播，但是利用CHM隱藏惡意軟體代碼逃避檢測正在成為攻擊者努力發展的攻擊手段，不排除此類銀行木馬在全球大規模傳播的可能，因此需提高警惕。

經驗證，安天智甲終端防禦系統（英文簡稱IEP，以下簡稱安天智甲）、探海威脅檢測系統等產品可通過安天自主先進的AVL SDK for Network威脅檢測引擎（簡稱安天AVL SDK）對該病毒做出精準檢測和處置。

作為網路安全產品的「發動機」，優質的威脅檢測引擎可為產品注入強大的動力。安天AVL SDK不僅具有非常高的威脅檢出率，並且可對威脅提供精準的命名和配套的知識體系；不僅可增強產品防禦的有效性、靈活性，同時也可輸出有效的安全知識和威脅情報。

針對該類威脅，安天AVL SDK可深度解析電子郵件、CHM等十餘種常見文件結構，細粒度地對文件進行解析還原，具有針對性地分離出文件中易於隱藏惡意代碼的代碼部分，為後續防禦提供準確的檢測結果。

2、CHM銀行木馬樣本分析

2.1 攻擊流程概述

1. 攻擊者大量發送垃圾郵件，使受害方收取郵件，並打開附件中的CHM文件。

2. 當受害方打開CHM文件，Microsoft Help查看器會載入包含在CHM文件中的惡意HTML文件。

3. 當HTML文件被載入後，會運行其中的JavaScript代碼。

4. 當JavaScript代碼運行後，會解密出一段PowerShell指令。

5. 當PowerShell指令執行後，會從網路中下載用於攻擊第二階段的PowerShell腳本。

6. 新的PowerShell會從網路中下載遠控木馬程序及其它功能組件。

2.2 詳細分析過程

2.2.1 拆解惡意CHM文件

圖2.1 CHM文件的AVL SDK拆解結果

拆解CHM文件後，得到了10個文件，其中「Load_HTML_CHM0.html」為包含惡意JavaScript指令的HTML文件。

圖2.2 HTML文件中的惡意JS代碼調用函數

HTML文件通過調用「open()」函數來運行惡意JavaScript代碼。

2.2.2 惡意JavaScript代碼分析

JavaScript代碼通過「open()」函數運行，該函數首先將兩段加密數據進行解密。

圖2.3 JS代碼中的兩段加密數據

加密數據的解密過程如下：

1. 對加密數據段進行base64解碼。

2. 將解碼出的數據進行逐位元組異或解密操作。

圖2.4 解密後的數據

將兩段數據解密後，得到圖2.4中的結果。第一段解密數據為運行PowerShell的命令，其中包含另外一段加密數據，將在下一節進行分析。第二段解密數據是一段ClassID,「adb880a6-d8ff-11cf-9377-00aa003b7a11」能夠運行後面出現的PowerShell腳本。

2.2.3 惡意PowerShell腳本分析

如圖2.4所示，該攻擊通過終止「hh.exe」（用於瀏覽CHM文件的程序）及設置窗口樣式為「hidden」，來逃避檢測。

運行後，其對自身包含的加密數據段進行base64解碼操作，解碼後的結果如下圖所示：

圖2.5 解碼後數據

解碼後的數據為一段PowerShell指令，該指令會下載另外一段PowerShell指令。

圖2.6 下載的PowerShell片段

該PowerShell指令會下載遠控木馬程序及其它功能組件並運行，從而達到控制受害方主機、竊取信息的目的。

3、防護建議

1、警惕陌生來源的電子郵件，不要輕易打開郵件附件；

2、在終端安裝可靠的安全防護產品，如安天智甲；

3、如果終端不幸感染該類或其他類別惡意軟體，立即使用安天智甲進行清除。

通過攻防測試驗證，安天智甲能夠有效對該CHM銀行木馬的惡意行為進行告警並攔截。

圖3.1 安天智甲針對CHM銀行木馬樣本進行主動防禦

（註：由於業內病毒命名規則各不相同，本告警中呈現的病毒名稱是依託於安天病毒命名規則。）

現階段，越來越多的病毒開始藉助PowerShell執行其核心攻擊模塊，該方式讓很多殺毒軟體無法有效感知和攔截。針對這種攻擊方式，安天智甲建立了多層次的防護方案，首先對PowerShell的使用進行管控，默認情況下，只允許已知授信程序調用PowerShell，當發現有未知程序調用時，會立即告警，用戶可以自行選擇處置方式；其次，安天智甲可對PowerShell調用的程序進行實時監控，分析進程行為，當發現有危險行為時，立即進行攔截並告警。

4、安天智甲簡介

圖4.1 安天智甲產品

圖4.2 安天智甲管理中心

安天智甲是一款面向政府、軍工、能源、金融、交通、電信等各行業用戶的企業級防護產品，產品集成了病毒檢測查殺、系統加固、主動防禦、介質管控、文檔保護、行為畫像等功能，不僅能夠對常規病毒進行防禦，還能夠對勒索軟體、APT等新型威脅進行有效防禦。

針對辦公計算機、國產系統平台、工控上位機、虛擬化終端、移動終端等多種場景，安天智甲均具有不同的防護解決方案，為用戶的系統和數據安全提供保障。

安天智甲還能有效與管理中心和安天態勢感知產品互動，協助客戶建立更全面的資產防護體系和風險認知能力，使態勢感知能夠有效落地。

1、安天智甲：更全面的場景應用——多場景支持、滿足差異化需求

安天智甲不僅是一款終端防護產品，還能夠以資產保障和威脅認知為視角，以形成有效的資產深度普查和端點畫像為能力輸出，並將數據同步至安天態勢感知平台中，讓用戶對整個端點的資產一覽無餘。

2、安天智甲：更廣闊的適配性——全面兼容國產化系統

3、安天智甲：更強大的功能——不僅僅是反病毒

4、安天智甲：更精準的威脅感知——3D可視化拓撲、感知全局態勢

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！