OneNote 文檔已成為新的惡意軟件感染載體-實(shí)時(shí)

隨著越來越多的人提高了安全意識(shí)并實(shí)施強(qiáng)大的安全措施，并且安全軟件變得更加復(fù)雜，傳播惡意軟件會(huì)變得比以往更加困難。正因?yàn)槿绱耍诳鸵恢痹趯ふ倚碌募夹g(shù)來欺騙受害者。

微軟 Office 文件曾經(jīng)是惡意軟件的流行載體，但最近變得不那么有效了，部分原因是默認(rèn)情況下 Office 軟件不再啟用宏。2022 年 2 月，微軟禁用了文檔中的 VBA 宏，因?yàn)樗鼈兘?jīng)常被用作惡意軟件分發(fā)方法。此舉促使惡意軟件作者尋找新的方法來分發(fā)其有效負(fù)載，從而導(dǎo)致其他感染媒介的使用增加，例如密碼加密的 zip 文件和 ISO 文件。黑客的最新選擇是使用微軟 OneNote 文件。

OneNote 文檔已成為一種新的感染媒介，其中包含在與文檔交互時(shí)執(zhí)行的惡意代碼。Emotet 和 Qakbot 以及其他高端竊取器和加密器是使用 OneNote 附件的已知惡意軟件威脅。目前已觀察到使用 OneNote 進(jìn)行惡意軟件傳遞的電子郵件活動(dòng)具有相似的特征。盡管消息主題和發(fā)送者各不相同，但幾乎所有的活動(dòng)都使用獨(dú)特的消息傳遞惡意軟件，并且通常不使用線程劫持。消息通常包含 OneNote 文件附件，主題包括發(fā)票、匯款、財(cái)產(chǎn)和季節(jié)性主題 ( 如圣誕節(jié)獎(jiǎng)金 ) 等。2023 年 1 月中旬，安全研究人員觀察到演員使用 URL 投遞 OneNote 附件，這些附件使用相同的 TTP 執(zhí)行惡意軟件。這包括 2023 年 1 月 31 日觀察到的 TA577 活動(dòng)。

(資料圖片)

研究人員目前正在開發(fā)新的工具和分析策略來檢測(cè)和防止這些 OneNote 附件被用作感染工具。本文重點(diǎn)介紹了這一新發(fā)展，并討論了惡意行為者用來破壞系統(tǒng)的技術(shù)，以及為什么微軟 OneNote 文件被用來傳播惡意軟件和您應(yīng)該如何保護(hù)自己？

為什么 OneNote 被用來傳播惡意軟件？

OneNote 是微軟開發(fā)的一款流行的筆記應(yīng)用程序。它旨在提供一種快速記筆記的簡(jiǎn)單方法，并且包括對(duì)圖像、文檔和其他可執(zhí)行代碼的支持。

該軟件功能豐富，因此也是黑客的理想選擇。

2022 年，Microsoft 禁用了 Office 文件中的宏。除此之外，再加上大多數(shù)企業(yè)已經(jīng)在努力防范 Office 文件，這意味著黑客現(xiàn)在正在尋找其他文件格式。

OneNote 是一個(gè)流行的應(yīng)用程序，但更重要的是，它默認(rèn)安裝在所有 Windows 計(jì)算機(jī)上。這意味著即使?jié)撛诘氖芎φ邲]有主動(dòng)使用 OneNote，如果他們單擊該文件，該文件仍會(huì)在他們的計(jì)算機(jī)上運(yùn)行。

OneNote 是 Microsoft 應(yīng)用程序，因此 OneNote 文件看起來值得信賴。這很重要，因?yàn)槌侨藗儗?shí)際點(diǎn)擊該文件，否則惡意軟件不會(huì)傳播。它還與其他 Microsoft Office 文件兼容，并且可以嵌入其中。

該軟件允許嵌入許多不同類型的內(nèi)容。這讓黑客可以使用各種技術(shù)來啟動(dòng)惡意軟件下載。OneNote 以前沒有被用來分發(fā)大量惡意軟件。正因?yàn)槿绱耍蠖鄶?shù)人不會(huì)懷疑此類文件，企業(yè)也不一定具備防御使用它們的攻擊的能力。

誰是目標(biāo)？

涉及 OneNote 文件的攻擊主要針對(duì)企業(yè)。OneNote 文件附加到電子郵件中，然后批量發(fā)送給員工。這些文件通常附加到旨在竊取信息的網(wǎng)絡(luò)釣魚電子郵件中，但可以附加到任何類型的電子郵件中。

雖然企業(yè)員工是最有利可圖的目標(biāo)，但個(gè)人也是潛在的受害者。對(duì)個(gè)人的成功攻擊將減少獲利，但可能更容易實(shí)施。因此，每個(gè)人都應(yīng)該提防不可靠的 OneNote 附件。

OneNote 是如何被詐騙者利用的？

惡意的 OneNote 文檔包含嵌入式文件，通常隱藏在一個(gè)看起來像按鈕的圖形后面。當(dāng)用戶雙擊嵌入的文件時(shí)，系統(tǒng)會(huì)提示他們一個(gè)警告。如果用戶繼續(xù)單擊，文件將執(zhí)行。該文件可能是不同類型的可執(zhí)行文件、快捷方式 ( LNK ) 文件或腳本文件，如 HTML 應(yīng)用程序 ( HTA ) 或 Windows 腳本文件 ( WSF ) 。

惡意 OneNote 文檔概述

將 OneNote 文檔武器化的網(wǎng)絡(luò)釣魚活動(dòng)的整體視圖如下面的圖 2 所示。惡意文件以 zip 文件或 ISO 映像形式通過釣魚電子郵件傳遞給目標(biāo)。我們已經(jīng)觀察到，大多數(shù)惡意文檔要么有調(diào)用 Powershell 在系統(tǒng)上刪除惡意軟件的 Windows 批處理腳本，要么有執(zhí)行相同操作的 VisualBasic 腳本。

惡意 OneNote 文件會(huì)在電子郵件中分發(fā)，討論發(fā)票和晉升、薪資等常見主題。它們還包括收件人需要下載文件的看似合理的理由。

某些電子郵件包含惡意 OneNote 文件作為附件。其他消息將用戶引導(dǎo)至惡意網(wǎng)站，然后鼓勵(lì)他們下載 OneNote 文件。

打開它后，受害者將被要求點(diǎn)擊某種類型的圖形。執(zhí)行此操作后，將執(zhí)行嵌入文件。嵌入式文件通常用于執(zhí)行從遠(yuǎn)程服務(wù)器下載惡意軟件的 PowerShell 命令。

攻擊鏈

隨著 VBA 宏的禁用，威脅參與者已轉(zhuǎn)向使用 OneNote 附件作為在端點(diǎn)上安裝惡意軟件的新方法。OneNote 附件可以包含嵌入式文件格式，例如 HTML、ISO 和 JScripts，這些格式可以被惡意行為者利用。OneNote 附件對(duì)攻擊者特別有吸引力，因?yàn)樗鼈兪墙换ナ降模⑶以O(shè)計(jì)用于添加和交互，而不僅僅是查看。這使得惡意行為者更容易包含可能導(dǎo)致感染的誘人消息和可點(diǎn)擊按鈕。因此，用戶在與 OneNote 附件交互時(shí)應(yīng)謹(jǐn)慎行事，即使它們看起來無害。使用更新的安全軟件并了解與交互式文件相關(guān)的潛在風(fēng)險(xiǎn)至關(guān)重要。

惡意程序的文件頭示例

為了理解數(shù)據(jù)是如何在文件中布局的，我們需要在字節(jié)級(jí)別檢查它。仔細(xì)觀察 OneNote 文檔，我們會(huì)發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象，因?yàn)樗念^文件的神奇字節(jié)并不是一個(gè)微不足道的字節(jié)。下圖顯示了文檔二進(jìn)制文件的前 16 個(gè)字節(jié)。

前 16 個(gè)字節(jié)需要解釋為 GUID 值 {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}。我們可以使用 OneNote 規(guī)范的官方文檔來理解所有字節(jié)及其結(jié)構(gòu)。下圖顯示了來自 OneNote 規(guī)范文檔的頭信息。電子郵件 – 社會(huì)工程學(xué)

與大多數(shù)惡意軟件作者一樣，攻擊者通常使用電子郵件作為與受害者的第一聯(lián)系方式。他們使用社會(huì)工程技術(shù)說服受害者打開程序并在他們的工作站上執(zhí)行代碼。

在最近的網(wǎng)絡(luò)釣魚嘗試中，攻擊者發(fā)送了一封看似來自可靠來源的電子郵件，并要求收件人下載 OneNote 附件。但是，打開附件后，代碼并未按預(yù)期自動(dòng)更新。相反，受害者會(huì)收到一個(gè)潛在危險(xiǎn)的提示。在這種情況下，與許多 OneNote 附件一樣，惡意行為者打算讓用戶單擊文檔中顯示的 " 打開 " 按鈕，從而執(zhí)行代碼。傳統(tǒng)的安全工具無法有效檢測(cè)此類威脅。

一種可用于分析 Microsoft Office 文檔（包括 OneNote 附件）的工具是 Oletools。該套件包括命令行可執(zhí)行文件 olevba，它有助于檢測(cè)和分析惡意代碼。

嘗試在 OneNote 附件上執(zhí)行該工具時(shí)，發(fā)生錯(cuò)誤。因此，分析的重點(diǎn)轉(zhuǎn)向動(dòng)態(tài)方法。通過將文檔放在沙箱中，我們發(fā)現(xiàn)了一系列腳本，這些腳本被執(zhí)行以下載和運(yùn)行可執(zhí)行文件或 DLL 文件，從而導(dǎo)致更嚴(yán)重的感染，如勒索軟件、竊取程序和文件擦除器。戰(zhàn)術(shù)和技術(shù)

這個(gè)特定的活動(dòng)使用編碼的 JScript 數(shù)據(jù)來隱藏他們的代碼，利用 Windows 工具 screnc.exe。雖然采用編碼形式，但 Open.jse 文件不可讀。解碼 JScript 文件后，發(fā)現(xiàn)了一個(gè) .bat 文件的釋放器。執(zhí)行時(shí)，.bat 文件會(huì)啟動(dòng)一個(gè) PowerShell 實(shí)例，該實(shí)例會(huì)聯(lián)系 IP 地址 198 [ . ] 44 [ . ] 140 [ . ] 32。

利用 OneNote 可以安裝什么惡意軟件？

OneNote 文件被攻擊者以各種不同的方法使用。因此，涉及許多不同類型的惡意軟件，包括勒索軟件、特洛伊木馬和信息竊取程序。

勒索軟件

勒索軟件專為勒索目的而設(shè)計(jì)。一旦安裝，系統(tǒng)上的所有文件都會(huì)被加密，如果沒有需要從攻擊者那里購買的解密密鑰，就無法訪問。

遠(yuǎn)程訪問木馬

遠(yuǎn)程訪問木馬 ( RAT ) 是一種允許攻擊者遠(yuǎn)程控制設(shè)備的惡意軟件。安裝后，攻擊者可以向機(jī)器發(fā)出命令并安裝其他類型的惡意軟件。

信息竊取者

信息竊取程序是一種用于竊取私人數(shù)據(jù)的木馬。信息竊取程序通常用于竊取登錄憑據(jù)，例如密碼以及財(cái)務(wù)信息。一旦在您的計(jì)算機(jī)上安裝了信息竊取程序，黑客就可以訪問您的私人帳戶。

如何防范惡意 OneNote 文件

幸運(yùn)的是，針對(duì)惡意 OneNote 文件的攻擊并不難防御。他們依賴于人們的粗心大意，因此您可以通過采取一些基本的安全預(yù)防措施來保護(hù)自己。

不要下載電子郵件附件

惡意 OneNote 文件只有在下載后才會(huì)執(zhí)行。除非您確定知道發(fā)件人是誰，否則切勿下載電子郵件附件。

備份文件

盡量備份所有重要文件并將備份保存在單獨(dú)的位置，即不使用外接存儲(chǔ)設(shè)備插入您的計(jì)算機(jī)（因?yàn)槔账鬈浖矔?huì)對(duì)其進(jìn)行加密），則勒索軟件的威脅較小。值得注意的是，以這種方式防御勒索軟件并不能阻止黑客訪問數(shù)據(jù)并威脅要發(fā)布數(shù)據(jù)。

使用雙因素身份驗(yàn)證

遠(yuǎn)程訪問木馬可用于竊取密碼。為了防止這種情況，您應(yīng)該為所有帳戶添加雙因素身份驗(yàn)證。雙因素身份驗(yàn)證可防止任何人登錄您的帳戶，除非他們還提供第二條信息，例如發(fā)送到您設(shè)備的代碼。激活后，您的密碼可能會(huì)被盜，小偷仍然無法訪問您的帳戶。

使用殺毒軟件

如果您有防病毒套件，許多類型的勒索軟件和遠(yuǎn)程訪問木馬將被阻止運(yùn)行。但是，不應(yīng)將防病毒軟件作為唯一的防線，因?yàn)樵S多惡意 OneNote 文件專門設(shè)計(jì)用于繞過它。

企業(yè)應(yīng)提供員工培訓(xùn)

所有企業(yè)都應(yīng)就此威脅對(duì)員工進(jìn)行教育。員工需要知道網(wǎng)絡(luò)釣魚電子郵件的樣子，并且不應(yīng)允許他們下載附件。

OneNote 文件是黑客的理想選擇

OneNote 文件是傳播惡意軟件的理想選擇。它們是能夠在大多數(shù)人的計(jì)算機(jī)上運(yùn)行的可信文件。它們也與惡意軟件無關(guān)，因此許多企業(yè)沒有能力抵御它們。

任何執(zhí)行惡意 OneNote 文件的人都可能對(duì)其數(shù)據(jù)進(jìn)行加密或竊取其個(gè)人信息。前者需要支付贖金，而后者可能導(dǎo)致賬戶被盜和財(cái)務(wù)欺詐。

企業(yè)和個(gè)人都應(yīng)該意識(shí)到這種威脅，并可以通過遵循基本的安全措施來防范它。

結(jié)論

為了有效應(yīng)對(duì)不斷變化的威脅形勢(shì)，對(duì)安全分析師來說，必須及時(shí)了解惡意軟件作者使用的最新攻擊策略。如果系統(tǒng)沒有適當(dāng)配置以防止此類附件繞過適當(dāng)?shù)那謇砗蜋z查，這些方法可以規(guī)避檢測(cè)。因此，分析師必須熟悉分析這些附件的技術(shù)。目前，建議進(jìn)行動(dòng)態(tài)分析，因?yàn)閷颖痉旁谏诚渲锌梢蕴峁┯嘘P(guān)惡意軟件的關(guān)鍵信息，包括它連接到的 C2 服務(wù)器、進(jìn)程鏈信息以及數(shù)據(jù)寫入磁盤然后執(zhí)行的位置。為了進(jìn)行更深入的分析，分析師還應(yīng)該熟悉通常與 OneNote 附件關(guān)聯(lián)和嵌入其中的各種文件格式，

需要注意的是，只有當(dāng)接收方使用附件時(shí) ( 特別是通過單擊嵌入的文件并忽略 OneNote 顯示的警告消息 ) ，攻擊才會(huì)成功。然而，最好的防御永遠(yuǎn)是預(yù)防。因此，安全團(tuán)隊(duì)必須更新他們的系統(tǒng)以檢測(cè)這些類型的附件，并教育員工下載未知和不受信任的附件的危險(xiǎn)。