今天小编分享的科技经验:OneNote 文档已成为新的恶意軟體感染载体,欢迎阅读。
随着越来越多的人提高了安全意识并实施强大的安全措施,并且安全軟體变得更加复杂,传播恶意軟體会变得比以往更加困难。正因为如此,黑客一直在寻找新的技术来欺骗受害者。
微软 Office 檔案曾经是恶意軟體的流行载体,但最近变得不那么有效了,部分原因是默认情况下 Office 軟體不再启用宏。2022 年 2 月,微软禁用了文档中的 VBA 宏,因为它们经常被用作恶意軟體分发方法。此举促使恶意軟體作者寻找新的方法来分发其有效负载,从而导致其他感染媒介的使用增加,例如密码加密的 zip 檔案和 ISO 檔案。黑客的最新选择是使用微软 OneNote 檔案。
OneNote 文档已成为一种新的感染媒介,其中包含在与文档互動时执行的恶意代码。Emotet 和 Qakbot 以及其他高端窃取器和加密器是使用 OneNote 附件的已知恶意軟體威胁。目前已观察到使用 OneNote 进行恶意軟體传递的电子邮件活动具有相似的特征。尽管消息主题和发送者各不相同,但几乎所有的活动都使用独特的消息传递恶意軟體,并且通常不使用线程劫持。消息通常包含 OneNote 檔案附件,主题包括发票、汇款、财产和季节性主题 ( 如圣诞节奖金 ) 等。2023 年 1 月中旬,安全研究人员观察到演员使用 URL 投递 OneNote 附件,这些附件使用相同的 TTP 执行恶意軟體。这包括 2023 年 1 月 31 日观察到的 TA577 活动。
研究人员目前正在开发新的工具和分析策略来检测和防止这些 OneNote 附件被用作感染工具。本文重点介绍了这一新发展,并讨论了恶意行为者用来破坏系统的技术,以及为什么微软 OneNote 檔案被用来传播恶意軟體和您应该如何保护自己?
为什么 OneNote 被用来传播恶意軟體?
OneNote 是微软开发的一款流行的笔记应用程式。它旨在提供一种快速记笔记的简单方法,并且包括对影像、文档和其他可执行代码的支持。
该軟體功能丰富,因此也是黑客的理想选择。
2022 年,Microsoft 禁用了 Office 檔案中的宏。除此之外,再加上大多数企业已经在努力防范 Office 檔案,这意味着黑客现在正在寻找其他檔案格式。
OneNote 是一个流行的应用程式,但更重要的是,它默认安装在所有 Windows 计算机上。这意味着即使潜在的受害者没有主动使用 OneNote,如果他们单击该檔案,该檔案仍会在他们的计算机上运行。
OneNote 是 Microsoft 应用程式,因此 OneNote 檔案看起来值得信赖。这很重要,因为除非人们实际点击该檔案,否则恶意軟體不会传播。它还与其他 Microsoft Office 檔案兼容,并且可以嵌入其中。
该軟體允许嵌入许多不同类型的内容。这让黑客可以使用各种技术来启动恶意軟體下载。OneNote 以前没有被用来分发大量恶意軟體。正因为如此,大多数人不会怀疑此类檔案,企业也不一定具备防御使用它们的攻击的能力。
谁是目标?
涉及 OneNote 檔案的攻击主要针对企业。OneNote 檔案附加到电子邮件中,然后批量发送给员工。这些檔案通常附加到旨在窃取信息的网络钓鱼电子邮件中,但可以附加到任何类型的电子邮件中。
虽然企业员工是最有利可图的目标,但个人也是潜在的受害者。对个人的成功攻击将减少获利,但可能更容易实施。因此,每个人都应该提防不可靠的 OneNote 附件。
OneNote 是如何被诈骗者利用的?
恶意的 OneNote 文档包含嵌入式檔案,通常隐藏在一个看起来像按钮的图形后面。当用户輕按兩下嵌入的檔案时,系统会提示他们一个警告。如果用户继续单击,檔案将执行。该檔案可能是不同类型的可执行檔案、快捷方式 ( LNK ) 檔案或脚本檔案,如 HTML 应用程式 ( HTA ) 或 Windows 脚本檔案 ( WSF ) 。
恶意 OneNote 文档概述
将 OneNote 文档武器化的网络钓鱼活动的整体视图如下面的图 2 所示。恶意檔案以 zip 檔案或 ISO 映像形式通过钓鱼电子邮件传递给目标。我们已经观察到,大多数恶意文档要么有调用 Powershell 在系统上删除恶意軟體的 Windows 批处理脚本,要么有执行相同操作的 VisualBasic 脚本。
恶意 OneNote 檔案会在电子邮件中分发,讨论发票和晋升、薪资等常见主题。它们还包括收件人需要下载檔案的看似合理的理由。
某些电子邮件包含恶意 OneNote 檔案作为附件。其他消息将用户引导至恶意网站,然后鼓励他们下载 OneNote 檔案。
打开它后,受害者将被要求点击某种类型的图形。执行此操作后,将执行嵌入檔案。嵌入式檔案通常用于执行从远程伺服器下载恶意軟體的 PowerShell 命令。
攻击链
随着 VBA 宏的禁用,威胁参与者已转向使用 OneNote 附件作为在端点上安装恶意軟體的新方法。OneNote 附件可以包含嵌入式檔案格式,例如 HTML、ISO 和 JScripts,这些格式可以被恶意行为者利用。OneNote 附件对攻击者特别有吸引力,因为它们是互動式的,并且设计用于添加和互動,而不仅仅是查看。这使得恶意行为者更容易包含可能导致感染的诱人消息和可点击按钮。因此,用户在与 OneNote 附件互動时应谨慎行事,即使它们看起来无害。使用更新的安全軟體并了解与互動式檔案相关的潜在风险至关重要。
恶意程式的檔案头示例
为了理解数据是如何在檔案中布局的,我们需要在字节级别检查它。仔细观察 OneNote 文档,我们会发现一个有趣的现象,因为它的头檔案的神奇字节并不是一个微不足道的字节。下图显示了文档二进制檔案的前 16 个字节。
前 16 个字节需要解释为 GUID 值 {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}。我们可以使用 OneNote 规范的官方文档来理解所有字节及其结构。下图显示了来自 OneNote 规范文档的头信息。
电子邮件 – 社会工程学
与大多数恶意軟體作者一样,攻击者通常使用电子邮件作为与受害者的第一联系方式。他们使用社会工程技术说服受害者打开程式并在他们的工作站上执行代码。
在最近的网络钓鱼尝试中,攻击者发送了一封看似来自可靠来源的电子邮件,并要求收件人下载 OneNote 附件。但是,打开附件后,代码并未按预期自动更新。相反,受害者会收到一个潜在危险的提示。
在这种情况下,与许多 OneNote 附件一样,恶意行为者打算让用户单击文档中显示的 " 打开 " 按钮,从而执行代码。传统的安全工具无法有效检测此类威胁。
一种可用于分析 Microsoft Office 文档(包括 OneNote 附件)的工具是 Oletools。该套件包括命令行可执行檔案 olevba,它有助于检测和分析恶意代码。
尝试在 OneNote 附件上执行该工具时,发生错误。因此,分析的重点转向动态方法。通过将文档放在沙箱中,我们发现了一系列脚本,这些脚本被执行以下载和运行可执行檔案或 DLL 檔案,从而导致更严重的感染,如勒索軟體、窃取程式和檔案擦除器。
战术和技术
这个特定的活动使用编码的 JScript 数据来隐藏他们的代码,利用 Windows 工具 screnc.exe。虽然采用编码形式,但 Open.jse 檔案不可读。解码 JScript 檔案后,发现了一个 .bat 檔案的释放器。执行时,.bat 檔案会启动一个 PowerShell 实例,该实例会联系 IP 地址 198 [ . ] 44 [ . ] 140 [ . ] 32。
利用 OneNote 可以安装什么恶意軟體?
OneNote 檔案被攻击者以各种不同的方法使用。因此,涉及许多不同类型的恶意軟體,包括勒索軟體、特洛伊木马和信息窃取程式。
勒索軟體
勒索軟體专为勒索目的而设计。一旦安装,系统上的所有檔案都会被加密,如果没有需要从攻击者那里购买的解密密钥,就无法访问。
远程访问木马
远程访问木马 ( RAT ) 是一种允许攻击者远程控制设备的恶意軟體。安装后,攻击者可以向机器发出命令并安装其他类型的恶意軟體。
信息窃取者
信息窃取程式是一种用于窃取私人数据的木马。信息窃取程式通常用于窃取登录凭据,例如密码以及财务信息。一旦在您的计算机上安装了信息窃取程式,黑客就可以访问您的私人帐户。
如何防范恶意 OneNote 檔案
幸运的是,针对恶意 OneNote 檔案的攻击并不难防御。他们依赖于人们的粗心大意,因此您可以通过采取一些基本的安全预防措施来保护自己。
不要下载电子邮件附件
恶意 OneNote 檔案只有在下载后才会执行。除非您确定知道发件人是谁,否则切勿下载电子邮件附件。
备份檔案
尽量备份所有重要檔案并将备份保存在单独的位置,即不使用外接存储设备插入您的计算机(因为勒索軟體也会对其进行加密),则勒索軟體的威胁较小。值得注意的是,以这种方式防御勒索軟體并不能阻止黑客访问数据并威胁要发布数据。
使用双因素身份验证
远程访问木马可用于窃取密码。为了防止这种情况,您应该为所有帐户添加双因素身份验证。双因素身份验证可防止任何人登录您的帐户,除非他们还提供第二条信息,例如发送到您设备的代码。激活后,您的密码可能会被盗,小偷仍然无法访问您的帐户。
使用杀毒軟體
如果您有防病毒套件,许多类型的勒索軟體和远程访问木马将被阻止运行。但是,不应将防病毒軟體作为唯一的防线,因为许多恶意 OneNote 檔案专门设计用于绕过它。
企业应提供员工培训
所有企业都应就此威胁对员工进行教育。员工需要知道网络钓鱼电子邮件的样子,并且不应允许他们下载附件。
OneNote 檔案是黑客的理想选择
OneNote 檔案是传播恶意軟體的理想选择。它们是能够在大多数人的计算机上运行的可信檔案。它们也与恶意軟體无关,因此许多企业没有能力抵御它们。
任何执行恶意 OneNote 檔案的人都可能对其数据进行加密或窃取其个人信息。前者需要支付赎金,而后者可能导致账户被盗和财务欺诈。
企业和个人都应该意识到这种威胁,并可以通过遵循基本的安全措施来防范它。
结论
为了有效应对不断变化的威胁形势,对安全分析师来说,必须及时了解恶意軟體作者使用的最新攻击策略。如果系统没有适当配置以防止此类附件绕过适当的清理和检查,这些方法可以规避检测。因此,分析师必须熟悉分析这些附件的技术。目前,建议进行动态分析,因为将样本放在沙箱中可以提供有关恶意軟體的关键信息,包括它连接到的 C2 伺服器、进程链信息以及数据写入磁盘然后执行的位置。为了进行更深入的分析,分析师还应该熟悉通常与 OneNote 附件关联和嵌入其中的各种檔案格式,
需要注意的是,只有当接收方使用附件时 ( 特别是通过单击嵌入的檔案并忽略 OneNote 显示的警告消息 ) ,攻击才会成功。然而,最好的防御永远是预防。因此,安全团队必须更新他们的系统以检测这些类型的附件,并教育员工下载未知和不受信任的附件的危险。