摘要

　　HTML走私是一種高度規避的惡意軟件交付技術，它利用合法的HTML5和JavaScript功能，越來越多地用于部署銀行惡意軟件、遠程訪問木馬（RAT）和其它與目標攻擊有關的Payload的電子郵件攻擊活動。值得注意的是，這種技術在5月份NOBELIUM的魚叉式網絡釣魚活動中被觀察到。最近，我們還發現這種技術傳遞了銀行木馬Mekotio，以及AsyncRAT/NJRAT和Trickbot，這些惡意軟件被攻擊者用來控制目標設備并傳遞勒索軟件Payload和其它威脅。

　　顧名思義，HTML走私讓攻擊者在專門制作的HTML附件或網頁中 “走私”編碼的惡意腳本。當目標用戶在他們的web瀏覽器中打開HTML時，瀏覽器會對惡意腳本進行解碼，進而在主機設備上組裝Payload。因此，攻擊者不是讓惡意的可執行文件直接通過網絡，而是在防火墻后面的本地建立惡意軟件。

　　圖 1.HTML 走私概述

　　這種技術具有很強的規避性，因為它可以繞過標準的外圍安全控制，如Web代理和電子郵件網關，這些控制通常只檢查可疑的附件（例如EXE、ZIP或DOCX）或基于簽名和模式的流量。由于惡意文件是在終端通過瀏覽器加載HTML文件后才創建的，因此一些保護解決方案在開始時只看到的是正常的HTML和JavaScript流量，這些流量也可以被混淆以進一步隱藏其真實目的。

　　使用HTML走私的威脅者利用HTML和JavaScript在日常業務運營中的合法用途來保持隱蔽性和相關性，以及對組織常規緩解程序的挑戰。例如，禁用JavaScript可以緩解使用JavaScript Blobs創建的HTML 走私。但是，JavaScript被用來渲染業務相關和其他合法的網頁。此外，還有多種方式可以實現HTML走私，比如通過混淆和多種JavaScript編碼方式，這些技術在內容檢查中具有高度的規避性。因此，企業需要一個真正的 “縱深防御”戰略（Defense-in-Depth）和一個多層次的安全解決方案，以檢查電子郵件傳遞、網絡活動、端點行為和后續攻擊者活動。

　　在電子郵件活動中大量使用HTML走私是攻擊者通過集成高度規避技術不斷完善其攻擊的特定組件的另一個例子。Microsoft Defender for Office 365使用動態保護技術（包括機器學習和沙箱）檢測和阻止HTML走私鏈接和附件，從一開始就阻止此類攻擊。來自Office 365 Defender的電子郵件威脅信號也被傳入Microsoft 365 Defender，后者對每個域（電子郵件和數據、端點、身份和云應用程序）提供高級保護，并將這些域的威脅數據與規避的復雜威脅關聯起來。這為企業提供了針對端到端攻擊鏈的全面、協調的防御。

　　這篇文章詳細介紹了HTML走私的工作原理，提供了最近使用它的威脅者和目標攻擊活動的例子，并分享了緩解措施和相關保護指南。

　　HTML走私的工作原理

　　HTML走私利用瀏覽器支持的HTML5和JavaScript的合法功能，在防火墻之后生成惡意文件。具體而言，HTML走私利用了HTML5的“download”屬性作為定位標記，以及創建和使用JavaScript Blob來將下載到受影響設備中的Payload組合在一起。

　　在HTML5中，當用戶點擊一個鏈接時，“ download ”屬性讓HTML文件自動下載 “href ”標簽中引用的文件。例如，下面的代碼指示瀏覽器從其位置下載 “malicious.docx”，并將其作為“safe.docx ”保存到設備中：

　　下載文件的代碼截圖

　　錨標簽和文件的 “ download ”屬性在JavaScript代碼中也有對應的內容，如下圖所示。

　　JavaScript中download屬性的代碼截圖

　　JavaScriptBlob的使用增加了該技術的 “走私 ”方面。JavaScriptBlob存儲文件的編碼數據，然后在傳遞給期望獲得URL的JavaScriptAPI時對其進行解碼。這意味著無需提供用戶必須手動單擊才能下載的實際文件的鏈接，可以使用如下所示的JavaScript 代碼在設備上本地自動下載和構建所述文件：

　　自動下載的代碼截圖

　　目前使用HTML走私的攻擊方式主要有兩種：指向 HTML 走私頁面的鏈接包含在電子郵件中，或者頁面本身作為附件包含。下面的部分提供了我們最近發現的使用這兩種方法之一的實際威脅示例。

　　使用HTML走私的威脅示例

　　HTML走私已被用于銀行惡意軟件活動，特別是歸因于DEV-0238（也稱為Mekotio）和DEV-0253（也稱為Ousaban）的攻擊，目標是巴西、墨西哥、西班牙、秘魯和葡萄牙。在我們觀察到的一個Mekotio活動中，攻擊者發送帶有惡意鏈接的電子郵件，如下圖所示：

　　圖2. Mekotio活動中使用的電子郵件樣本。單擊該鏈接將啟動 HTML 走私技術。

　　圖 3.Mekotio 活動中觀察到的威脅行為

　　在這個活動中，惡意網站hxxp://poocardy[.]net/diretorio/用于實施 HTML走私技術并投放惡意下載器文件。下圖顯示了在瀏覽器上呈現的 HTML 走私頁面：

　　圖4.Mekotio活動的HTML走私頁面。注意“href ”標簽是如何引用八位字節/流類型的JavaScript Blob來下載惡意的ZIP文件。

　　需要注意的是，這種攻擊嘗試依賴社會工程和用戶交互來取得成功。當用戶點擊電子郵件中的超鏈接時，HTML 頁面會放置一個嵌入了混淆 JavaScript 文件的 ZIP 文件。

　　圖 5. 帶有混淆 JavaScript 文件的 ZIP 文件

　　當用戶打開ZIP文件并執行JavaScript時，該腳本會連接到hxxps://malparque[.]org/rest/restfuch[.]png并下載另一個偽裝成PNG文件的ZIP文件。第二個ZIP文件包含與DAEMON Tools有關的以下文件：

　　sptdintf.dll：這是一個合法文件。各種虛擬磁盤應用程序，包括DAEMON Tools 和Alcohol 120%，都使用這個動態鏈接庫（DLL）文件。

　　imgengine.dll：這是一個惡意文件，它被Themida包裝或經過 VMProtected 進行混淆處理。它可以訪問目標的地理位置信息，并試圖竊取憑證和鍵盤記錄。

　　一個具有隨機名稱的可執行文件，它是重命名的合法文件 “Disc Soft Bus Service Pro”。這個合法文件是DAEMON Tools Pro的一部分，并加載這兩個DLL。

　　最后，一旦用戶運行主要可執行文件（重命名的合法文件），它就會通過DLL旁加載啟動并加載惡意的DLL。如前所述，這個DLL文件歸屬于Mekotio，這是一種通常部署在Windows系統上的銀行木馬惡意軟件家族，自2016年下半年以來一直針對拉丁美洲的行業。

　　針對性攻擊中的HTML走私

　　除了銀行惡意軟件活動之外，各種網絡攻擊（包括更復雜、更有針對性的攻擊）都將 HTML 走私納入其武器庫。這種采用表明了戰術、技術和程序（TTP）是如何從網絡犯罪團伙滲透到惡意威脅行為者的，反之亦然。它還強化了地下經濟的現狀，在那里，這種TTP在被認為是有效的時候會被商品化。

　　例如，5月份，微軟威脅情報中心（MSTIC）發布了一份關于NOBELIUM的復雜電子郵件攻擊的詳細分析。MSTIC指出，該活動中使用的魚叉式網絡釣魚電子郵件包含一個HTML文件附件，當目標用戶打開時，它使用HTML走私在設備上下載主要Payload。

　　從那以后，其他惡意行為者似乎開始效仿NOBELIUM，在他們自己的活動中采用了這種技術。在7月和8月之間，開源情報（OSINT）社區顯示，在傳遞AsyncRAT/NJRAT等遠程訪問木馬（RAT）的活動中，HTML走私的情況有所上升。

　　9月，我們發現一個利用HTML走私來傳遞Trickbot的電子郵件活動。微軟將這個Trickbot活動歸于一個新興的、有經濟動機的網絡犯罪組織，我們將其追蹤為DEV-0193。

　　在上述活動中，攻擊者發送一個特制的 HTML 頁面作為電子郵件的附件，聲稱是一份商業報告。

　　圖 6. Trickbot 魚叉式網絡釣魚活動中附加的 HTML 走私頁面

　　當目標收件人在web瀏覽器中打開HTML附件時，它將構造一個JavaScript文件，并將所述文件保存在設備的默認下載文件夾中。作為針對端點安全控制的附加檢測規避技術，創建的JavaScript文件受密碼保護。因此，用戶必須輸入原始HTML附件中指示的密碼才能打開它。

　　圖7. HTML附件在瀏覽器中構建受密碼保護的下載器JavaScript

　　一旦用戶執行了JavaScript，就會啟動Base64編碼的PowerShell命令，然后回調到攻擊者的服務器以下載Trickbot。

　　圖 8.Trickbot 魚叉式網絡釣魚活動中的 HTML 走私攻擊鏈

　　根據我們的調查，DEV-0193主要針對健康和教育行業的組織，并與勒索軟件運營商密切合作，例如臭名昭著的Ryuk勒索軟件背后的運營商。在入侵組織之后，該組織將成為后續勒索軟件攻擊的基本支點和推動者。他們還經常向上述運營商出售未經授權的訪問權限。因此，一旦組織的網絡和系統環境被破壞，很可能會發生勒索軟件攻擊。

　　防御使用HTML走私的各種威脅

　　HTML走私對傳統安全解決方案帶來了挑戰。有效防御這種隱蔽的技術需要真正的縱深防御。在攻擊鏈的早期（電子郵件網關和web過濾層面）阻止攻擊是最好的。如果威脅者設法突破外圍安全漏洞并將威脅傳遞到主機上，則端點保護控制應該能夠阻止執行。

　　Microsoft 365 Defender使用多層動態保護技術，包括基于機器學習的保護，以抵御惡意軟件威脅和其他在不同層面上利用HTML走私的攻擊。它將來自電子郵件、端點、身份和云應用程序的威脅數據聯系起來，提供深入和協調的威脅防御。并且這些都得到威脅專家的支持，他們不斷監控威脅狀況，以尋找新的攻擊者及其使用的工具和技術。

　　適用于Office 365的Microsoft Defender檢查電子郵件中的附件和鏈接，以檢測和警告HTML走私企圖。在過去六個月中，微軟阻止了數以千計的HTML走私鏈接和附件。下面的時間線圖顯示了6月和7月的HTML走私企圖的高峰期。

　　圖 9. 檢測到并阻止的 HTML 走私鏈接

　　圖 10. 檢測到并阻止的 HTML 走私附件

　　安全鏈接和安全附件通過利用虛擬環境在電子郵件中的鏈接和附件發送給收件人之前對其進行檢查，從而提供針對 HTML 走私和其他電子郵件威脅的實時保護。在電子郵件中檢測和分析數以千計的可疑行為屬性，以確定網絡釣魚的企圖。例如，檢查以下內容的行為規則已被證明能成功地檢測出惡意軟件走私的HTML附件：

　　附加的ZIP文件包含JavaScript；

　　附件受密碼保護；

　　HTML文件包含一個可疑的腳本代碼；

　　HTML文件解碼Base64代碼或混淆JavaScript。

　　通過自動化和威脅專家的分析，現有的規則被修改，并且每天增加新的規則。在端點上，減少攻擊面能夠阻止或審計與HTML走私有關的活動。以下規則可以提供幫助：

　　阻止JavaScript或VBScript啟動下載的可執行內容；

　　阻止潛在混淆腳本的執行；

　　阻止可執行文件的運行，除非它們符合普遍性、年齡或受信任列表標準。

　　端點保護平臺（EPP）和端點檢測和響應（EDR）功能可在執行前后檢測惡意文件、惡意行為和其他相關事件。同時，高級狩獵（Advanced hunting）讓防御者可以創建自定義檢測來主動發現相關威脅。防御者還可以應用以下緩解措施來減少利用HTML走私的威脅的影響：

　　通過更改。js和。jse文件的文件關聯來防止JavaScript代碼自動執行。

　　在組策略管理控制臺的 “用戶配置”>“首選項”>“控制面板設置”>“文件夾選項 ”下創建新的打開方式參數。

　　為。jse和。js文件擴展名創建參數，將它們與notepad.exe或其他文本編輯器關聯。

　　檢查Office365的電子郵件過濾設置，確保它們能阻止欺騙性的電子郵件、垃圾郵件和帶有惡意軟件的電子郵件。使用MicrosoftDefender for Office 365以增強網絡釣魚保護，抵御新威脅和多態變體。配置Office365，以便在單擊時重新檢查鏈接，并根據新獲得的威脅情報，消除已經發送的惡意信息。

　　檢查外圍防火墻和代理，以限制服務器與互聯網進行任意連接來瀏覽或下載文件。這種限制有助于抑制惡意軟件的下載和命令與控制（C2）活動。

　　用戶可以使用Microsoft Edge和其他支持Microsoft Defender SmartScreen的web瀏覽器，該瀏覽器可識別和阻止惡意網站。開啟網絡保護，阻止與惡意域名和IP地址的連接。

　　在Microsoft Defender防病毒軟件上打開云端提供的保護和自動提交樣本。這些功能使用人工智能和機器學習來快速識別和阻止新的和未知的威脅。

　　對用戶進行預防惡意軟件感染的安全意識教育。鼓勵用戶實行良好的憑證方式，限制使用具有本地或域管理員權限的賬戶，并打開Microsoft Defender防火墻以防止惡意軟件感染和傳遞。