Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1218 , T1218.001 , T1218.002 , T1218.003 , T1218.004 , T1218.005 , T1218.007 , T1218.008 , T1218.009 , T1218.010 , T1218.011 , T1218.012 , T1218.013 , T1218.014 , T1218.015
Злоумышленники могут использовать файлы Compiled HTML (.chm) для сокрытия вредоносного кода. Файлы CHM обычно распространяются как часть системы Microsoft HTML Help. CHM-файлы представляют собой сжатые компиляции различного содержимого, такого как HTML-документы, изображения и языки программирования, связанные со сценариями и Интернетом, такие как VBA, JScript, Java и ActiveX.(Цитата: Microsoft HTML Help May 2018) CHM-контент отображается с помощью базовых компонентов браузера Internet Explorer (Цитата: Microsoft HTML Help ActiveX), загружаемых исполняемой программой HTML Help (hh.exe). (Цитата: Microsoft HTML Help Executable Program)
Пользовательский CHM-файл, содержащий встроенную полезную нагрузку, может быть доставлен жертве и затем запущен User Execution.Выполнение CHM может также обойти контроль приложений на старых и/или непропатченных системах, которые не учитывают выполнение двоичных файлов через hh.exe. (Цитата: MsitPros CHM Aug 2017) (Цитата: Microsoft CVE-2017-8625 Aug 2017)
https://attack.mitre.org/techniques/T1218/001
Визуализация смежных техник для T1218.001
| № | Техника |
|---|
