今天小編分享的科技經驗:OneNote 文檔已成為新的惡意軟體感染載體,歡迎閲讀。
随着越來越多的人提高了安全意識并實施強大的安全措施,并且安全軟體變得更加復雜,傳播惡意軟體會變得比以往更加困難。正因為如此,黑客一直在尋找新的技術來欺騙受害者。
微軟 Office 檔案曾經是惡意軟體的流行載體,但最近變得不那麼有效了,部分原因是默認情況下 Office 軟體不再啓用宏。2022 年 2 月,微軟禁用了文檔中的 VBA 宏,因為它們經常被用作惡意軟體分發方法。此舉促使惡意軟體作者尋找新的方法來分發其有效負載,從而導致其他感染媒介的使用增加,例如密碼加密的 zip 檔案和 ISO 檔案。黑客的最新選擇是使用微軟 OneNote 檔案。
OneNote 文檔已成為一種新的感染媒介,其中包含在與文檔互動時執行的惡意代碼。Emotet 和 Qakbot 以及其他高端竊取器和加密器是使用 OneNote 附件的已知惡意軟體威脅。目前已觀察到使用 OneNote 進行惡意軟體傳遞的電子郵件活動具有相似的特征。盡管消息主題和發送者各不相同,但幾乎所有的活動都使用獨特的消息傳遞惡意軟體,并且通常不使用線程劫持。消息通常包含 OneNote 檔案附件,主題包括發票、匯款、财產和季節性主題 ( 如聖誕節獎金 ) 等。2023 年 1 月中旬,安全研究人員觀察到演員使用 URL 投遞 OneNote 附件,這些附件使用相同的 TTP 執行惡意軟體。這包括 2023 年 1 月 31 日觀察到的 TA577 活動。
研究人員目前正在開發新的工具和分析策略來檢測和防止這些 OneNote 附件被用作感染工具。本文重點介紹了這一新發展,并讨論了惡意行為者用來破壞系統的技術,以及為什麼微軟 OneNote 檔案被用來傳播惡意軟體和您應該如何保護自己?
為什麼 OneNote 被用來傳播惡意軟體?
OneNote 是微軟開發的一款流行的筆記應用程式。它旨在提供一種快速記筆記的簡單方法,并且包括對影像、文檔和其他可執行代碼的支持。
該軟體功能豐富,因此也是黑客的理想選擇。
2022 年,Microsoft 禁用了 Office 檔案中的宏。除此之外,再加上大多數企業已經在努力防範 Office 檔案,這意味着黑客現在正在尋找其他檔案格式。
OneNote 是一個流行的應用程式,但更重要的是,它默認安裝在所有 Windows 計算機上。這意味着即使潛在的受害者沒有主動使用 OneNote,如果他們單擊該檔案,該檔案仍會在他們的計算機上運行。
OneNote 是 Microsoft 應用程式,因此 OneNote 檔案看起來值得信賴。這很重要,因為除非人們實際點擊該檔案,否則惡意軟體不會傳播。它還與其他 Microsoft Office 檔案兼容,并且可以嵌入其中。
該軟體允許嵌入許多不同類型的内容。這讓黑客可以使用各種技術來啓動惡意軟體下載。OneNote 以前沒有被用來分發大量惡意軟體。正因為如此,大多數人不會懷疑此類檔案,企業也不一定具備防御使用它們的攻擊的能力。
誰是目标?
涉及 OneNote 檔案的攻擊主要針對企業。OneNote 檔案附加到電子郵件中,然後批量發送給員工。這些檔案通常附加到旨在竊取信息的網絡釣魚電子郵件中,但可以附加到任何類型的電子郵件中。
雖然企業員工是最有利可圖的目标,但個人也是潛在的受害者。對個人的成功攻擊将減少獲利,但可能更容易實施。因此,每個人都應該提防不可靠的 OneNote 附件。
OneNote 是如何被詐騙者利用的?
惡意的 OneNote 文檔包含嵌入式檔案,通常隐藏在一個看起來像按鈕的圖形後面。當用户輕按兩下嵌入的檔案時,系統會提示他們一個警告。如果用户繼續單擊,檔案将執行。該檔案可能是不同類型的可執行檔案、快捷方式 ( LNK ) 檔案或腳本檔案,如 HTML 應用程式 ( HTA ) 或 Windows 腳本檔案 ( WSF ) 。
惡意 OneNote 文檔概述
将 OneNote 文檔武器化的網絡釣魚活動的整體視圖如下面的圖 2 所示。惡意檔案以 zip 檔案或 ISO 映像形式通過釣魚電子郵件傳遞給目标。我們已經觀察到,大多數惡意文檔要麼有調用 Powershell 在系統上删除惡意軟體的 Windows 批處理腳本,要麼有執行相同操作的 VisualBasic 腳本。
惡意 OneNote 檔案會在電子郵件中分發,讨論發票和晉升、薪資等常見主題。它們還包括收件人需要下載檔案的看似合理的理由。
某些電子郵件包含惡意 OneNote 檔案作為附件。其他消息将用户引導至惡意網站,然後鼓勵他們下載 OneNote 檔案。
打開它後,受害者将被要求點擊某種類型的圖形。執行此操作後,将執行嵌入檔案。嵌入式檔案通常用于執行從遠程伺服器下載惡意軟體的 PowerShell 命令。
攻擊鏈
随着 VBA 宏的禁用,威脅參與者已轉向使用 OneNote 附件作為在端點上安裝惡意軟體的新方法。OneNote 附件可以包含嵌入式檔案格式,例如 HTML、ISO 和 JScripts,這些格式可以被惡意行為者利用。OneNote 附件對攻擊者特别有吸引力,因為它們是互動式的,并且設計用于添加和互動,而不僅僅是查看。這使得惡意行為者更容易包含可能導致感染的誘人消息和可點擊按鈕。因此,用户在與 OneNote 附件互動時應謹慎行事,即使它們看起來無害。使用更新的安全軟體并了解與互動式檔案相關的潛在風險至關重要。
惡意程式的檔案頭示例
為了理解數據是如何在檔案中布局的,我們需要在字節級别檢查它。仔細觀察 OneNote 文檔,我們會發現一個有趣的現象,因為它的頭檔案的神奇字節并不是一個微不足道的字節。下圖顯示了文檔二進制檔案的前 16 個字節。
前 16 個字節需要解釋為 GUID 值 {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}。我們可以使用 OneNote 規範的官方文檔來理解所有字節及其結構。下圖顯示了來自 OneNote 規範文檔的頭信息。
電子郵件 – 社會工程學
與大多數惡意軟體作者一樣,攻擊者通常使用電子郵件作為與受害者的第一聯系方式。他們使用社會工程技術説服受害者打開程式并在他們的工作站上執行代碼。
在最近的網絡釣魚嘗試中,攻擊者發送了一封看似來自可靠來源的電子郵件,并要求收件人下載 OneNote 附件。但是,打開附件後,代碼并未按預期自動更新。相反,受害者會收到一個潛在危險的提示。
在這種情況下,與許多 OneNote 附件一樣,惡意行為者打算讓用户單擊文檔中顯示的 " 打開 " 按鈕,從而執行代碼。傳統的安全工具無法有效檢測此類威脅。
一種可用于分析 Microsoft Office 文檔(包括 OneNote 附件)的工具是 Oletools。該套件包括命令行可執行檔案 olevba,它有助于檢測和分析惡意代碼。
嘗試在 OneNote 附件上執行該工具時,發生錯誤。因此,分析的重點轉向動态方法。通過将文檔放在沙箱中,我們發現了一系列腳本,這些腳本被執行以下載和運行可執行檔案或 DLL 檔案,從而導致更嚴重的感染,如勒索軟體、竊取程式和檔案擦除器。
戰術和技術
這個特定的活動使用編碼的 JScript 數據來隐藏他們的代碼,利用 Windows 工具 screnc.exe。雖然采用編碼形式,但 Open.jse 檔案不可讀。解碼 JScript 檔案後,發現了一個 .bat 檔案的釋放器。執行時,.bat 檔案會啓動一個 PowerShell 實例,該實例會聯系 IP 地址 198 [ . ] 44 [ . ] 140 [ . ] 32。
利用 OneNote 可以安裝什麼惡意軟體?
OneNote 檔案被攻擊者以各種不同的方法使用。因此,涉及許多不同類型的惡意軟體,包括勒索軟體、特洛伊木馬和信息竊取程式。
勒索軟體
勒索軟體專為勒索目的而設計。一旦安裝,系統上的所有檔案都會被加密,如果沒有需要從攻擊者那裏購買的解密密鑰,就無法訪問。
遠程訪問木馬
遠程訪問木馬 ( RAT ) 是一種允許攻擊者遠程控制設備的惡意軟體。安裝後,攻擊者可以向機器發出命令并安裝其他類型的惡意軟體。
信息竊取者
信息竊取程式是一種用于竊取私人數據的木馬。信息竊取程式通常用于竊取登錄憑據,例如密碼以及财務信息。一旦在您的計算機上安裝了信息竊取程式,黑客就可以訪問您的私人帳户。
如何防範惡意 OneNote 檔案
幸運的是,針對惡意 OneNote 檔案的攻擊并不難防御。他們依賴于人們的粗心大意,因此您可以通過采取一些基本的安全預防措施來保護自己。
不要下載電子郵件附件
惡意 OneNote 檔案只有在下載後才會執行。除非您确定知道發件人是誰,否則切勿下載電子郵件附件。
備份檔案
盡量備份所有重要檔案并将備份保存在單獨的位置,即不使用外接存儲設備插入您的計算機(因為勒索軟體也會對其進行加密),則勒索軟體的威脅較小。值得注意的是,以這種方式防御勒索軟體并不能阻止黑客訪問數據并威脅要發布數據。
使用雙因素身份驗證
遠程訪問木馬可用于竊取密碼。為了防止這種情況,您應該為所有帳户添加雙因素身份驗證。雙因素身份驗證可防止任何人登錄您的帳户,除非他們還提供第二條信息,例如發送到您設備的代碼。激活後,您的密碼可能會被盜,小偷仍然無法訪問您的帳户。
使用殺毒軟體
如果您有防病毒套件,許多類型的勒索軟體和遠程訪問木馬将被阻止運行。但是,不應将防病毒軟體作為唯一的防線,因為許多惡意 OneNote 檔案專門設計用于繞過它。
企業應提供員工培訓
所有企業都應就此威脅對員工進行教育。員工需要知道網絡釣魚電子郵件的樣子,并且不應允許他們下載附件。
OneNote 檔案是黑客的理想選擇
OneNote 檔案是傳播惡意軟體的理想選擇。它們是能夠在大多數人的計算機上運行的可信檔案。它們也與惡意軟體無關,因此許多企業沒有能力抵御它們。
任何執行惡意 OneNote 檔案的人都可能對其數據進行加密或竊取其個人信息。前者需要支付贖金,而後者可能導致賬户被盜和财務欺詐。
企業和個人都應該意識到這種威脅,并可以通過遵循基本的安全措施來防範它。
結論
為了有效應對不斷變化的威脅形勢,對安全分析師來説,必須及時了解惡意軟體作者使用的最新攻擊策略。如果系統沒有适當配置以防止此類附件繞過适當的清理和檢查,這些方法可以規避檢測。因此,分析師必須熟悉分析這些附件的技術。目前,建議進行動态分析,因為将樣本放在沙箱中可以提供有關惡意軟體的關鍵信息,包括它連接到的 C2 伺服器、進程鏈信息以及數據寫入磁盤然後執行的位置。為了進行更深入的分析,分析師還應該熟悉通常與 OneNote 附件關聯和嵌入其中的各種檔案格式,
需要注意的是,只有當接收方使用附件時 ( 特别是通過單擊嵌入的檔案并忽略 OneNote 顯示的警告消息 ) ,攻擊才會成功。然而,最好的防御永遠是預防。因此,安全團隊必須更新他們的系統以檢測這些類型的附件,并教育員工下載未知和不受信任的附件的危險。