det0342-detection-of-suspicious-compiled-html-file-execution-via-hhexe

# DET0342 — Detection of Suspicious Compiled HTML File Execution via hh.exe ## Descrição Esta estratégia detecta o abuso de `hh.exe` — Microsoft HTML Help Executable — para executar código malicioso através de arquivos CHM (Compiled HTML Help) que embarcam scripts (JavaScript, VBScript, ActiveX) executados no contexto do Internet Explorer/MSHTML. A técnica [[T1218.001-compiled-html-file]] é uma técnica Living-off-the-Land que explora um binário legítimo assinado pela Microsoft para bypass de controles de aplicação. Arquivos CHM maliciosos são frequentemente distribuídos via phishing, mascarados como documentação técnica, manuais ou relatórios. Quando abertos com `hh.exe`, executam scripts embutidos com privilégios do usuário, podendo baixar payloads adicionais, modificar o registro ou injetar código em processos. A técnica tem sido utilizada em campanhas de APT asiáticas e grupos de espionagem direcionados a alvos governamentais e corporativos. Em LATAM, campanhas de phishing com CHMs disfarçados de documentos de RH ou financeiros foram documentadas em 2023-2024. ## Indicadores de Detecção - `hh.exe` gerando processos filhos (cmd.exe, powershell.exe, wscript.exe, mshta.exe) - `hh.exe` executado a partir de diretórios temporários, downloads ou compartilhamentos de rede - Arquivo CHM aberto seguido de conexão de rede por processo filho de `hh.exe` - `hh.exe` invocado com argumentos de URL (`hh.exe http://`, `hh.exe \\server\share\file.chm`) - Criação de processo `hhctrl.ocx` gerando scripts ou binários em diretórios temporários - Acesso a chaves de registro de persistência por processos filhos de `hh.exe` ## Técnicas Relacionadas - [[T1218.001-compiled-html-file]] — técnica primária - [[t1218-system-binary-proxy-execution|T1218-system-binary-proxy-execution]] — categoria pai de proxy via binários do sistema - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — scripts executados via CHM malicioso - [[T1566.001-spearphishing-attachment]] — CHM frequentemente distribuído como anexo de phishing - [[T1204.002-malicious-file]] — execução pelo usuário do arquivo CHM malicioso ## Analytics Relacionadas - [[an0968-analytic-0968|AN0968 — Analytic 0968]] --- *Fonte: [MITRE ATT&CK — DET0342](https://attack.mitre.org/detectionstrategies/DET0342)*