随着越來越多的人提高了安全意識并實施強大的安全措施,并且安全軟件變得更加複雜,傳播惡意軟件會變得比以往更加困難。正因爲如此,黑客一直在尋找新的技術來欺騙受害者。
微軟 Office 文件曾經是惡意軟件的流行載體,但最近變得不那麽有效了,部分原因是默認情況下 Office 軟件不再啓用宏。2022 年 2 月,微軟禁用了文檔中的 VBA 宏,因爲它們經常被用作惡意軟件分發方法。此舉促使惡意軟件作者尋找新的方法來分發其有效負載,從而導緻其他感染媒介的使用增加,例如密碼加密的 zip 文件和 ISO 文件。黑客的最新選擇是使用微軟 OneNote 文件。
OneNote 文檔已成爲一種新的感染媒介,其中包含在與文檔交互時執行的惡意代碼。Emotet 和 Qakbot 以及其他高端竊取器和加密器是使用 OneNote 附件的已知惡意軟件威脅。目前已觀察到使用 OneNote 進行惡意軟件傳遞的電子郵件活動具有相似的特征。盡管消息主題和發送者各不相同,但幾乎所有的活動都使用獨特的消息傳遞惡意軟件,并且通常不使用線程劫持。消息通常包含 OneNote 文件附件,主題包括發票、彙款、财産和季節性主題 ( 如聖誕節獎金 ) 等。2023 年 1 月中旬,安全研究人員觀察到演員使用 URL 投遞 OneNote 附件,這些附件使用相同的 TTP 執行惡意軟件。這包括 2023 年 1 月 31 日觀察到的 TA577 活動。
研究人員目前正在開發新的工具和分析策略來檢測和防止這些 OneNote 附件被用作感染工具。本文重點介紹了這一新發展,并讨論了惡意行爲者用來破壞系統的技術,以及爲什麽微軟 OneNote 文件被用來傳播惡意軟件和您應該如何保護自己?
爲什麽 OneNote 被用來傳播惡意軟件?
OneNote 是微軟開發的一款流行的筆記應用程序。它旨在提供一種快速記筆記的簡單方法,并且包括對圖像、文檔和其他可執行代碼的支持。
該軟件功能豐富,因此也是黑客的理想選擇。
2022 年,Microsoft 禁用了 Office 文件中的宏。除此之外,再加上大多數企業已經在努力防範 Office 文件,這意味着黑客現在正在尋找其他文件格式。
OneNote 是一個流行的應用程序,但更重要的是,它默認安裝在所有 Windows 計算機上。這意味着即使潛在的受害者沒有主動使用 OneNote,如果他們單擊該文件,該文件仍會在他們的計算機上運行。
OneNote 是 Microsoft 應用程序,因此 OneNote 文件看起來值得信賴。這很重要,因爲除非人們實際點擊該文件,否則惡意軟件不會傳播。它還與其他 Microsoft Office 文件兼容,并且可以嵌入其中。
該軟件允許嵌入許多不同類型的内容。這讓黑客可以使用各種技術來啓動惡意軟件下載。OneNote 以前沒有被用來分發大量惡意軟件。正因爲如此,大多數人不會懷疑此類文件,企業也不一定具備防禦使用它們的攻擊的能力。
誰是目标?
涉及 OneNote 文件的攻擊主要針對企業。OneNote 文件附加到電子郵件中,然後批量發送給員工。這些文件通常附加到旨在竊取信息的網絡釣魚電子郵件中,但可以附加到任何類型的電子郵件中。
雖然企業員工是最有利可圖的目标,但個人也是潛在的受害者。對個人的成功攻擊将減少獲利,但可能更容易實施。因此,每個人都應該提防不可靠的 OneNote 附件。
OneNote 是如何被詐騙者利用的?
惡意的 OneNote 文檔包含嵌入式文件,通常隐藏在一個看起來像按鈕的圖形後面。當用戶雙擊嵌入的文件時,系統會提示他們一個警告。如果用戶繼續單擊,文件将執行。該文件可能是不同類型的可執行文件、快捷方式 ( LNK ) 文件或腳本文件,如 HTML 應用程序 ( HTA ) 或 Windows 腳本文件 ( WSF ) 。
惡意 OneNote 文檔概述
将 OneNote 文檔武器化的網絡釣魚活動的整體視圖如下面的圖 2 所示。惡意文件以 zip 文件或 ISO 映像形式通過釣魚電子郵件傳遞給目标。我們已經觀察到,大多數惡意文檔要麽有調用 Powershell 在系統上删除惡意軟件的 Windows 批處理腳本,要麽有執行相同操作的 VisualBasic 腳本。
惡意 OneNote 文件會在電子郵件中分發,讨論發票和晉升、薪資等常見主題。它們還包括收件人需要下載文件的看似合理的理由。
某些電子郵件包含惡意 OneNote 文件作爲附件。其他消息将用戶引導至惡意網站,然後鼓勵他們下載 OneNote 文件。
打開它後,受害者将被要求點擊某種類型的圖形。執行此操作後,将執行嵌入文件。嵌入式文件通常用于執行從遠程服務器下載惡意軟件的 PowerShell 命令。
攻擊鏈
随着 VBA 宏的禁用,威脅參與者已轉向使用 OneNote 附件作爲在端點上安裝惡意軟件的新方法。OneNote 附件可以包含嵌入式文件格式,例如 HTML、ISO 和 JScripts,這些格式可以被惡意行爲者利用。OneNote 附件對攻擊者特别有吸引力,因爲它們是交互式的,并且設計用于添加和交互,而不僅僅是查看。這使得惡意行爲者更容易包含可能導緻感染的誘人消息和可點擊按鈕。因此,用戶在與 OneNote 附件交互時應謹慎行事,即使它們看起來無害。使用更新的安全軟件并了解與交互式文件相關的潛在風險至關重要。
惡意程序的文件頭示例
爲了理解數據是如何在文件中布局的,我們需要在字節級别檢查它。仔細觀察 OneNote 文檔,我們會發現一個有趣的現象,因爲它的頭文件的神奇字節并不是一個微不足道的字節。下圖顯示了文檔二進制文件的前 16 個字節。
前 16 個字節需要解釋爲 GUID 值 {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}。我們可以使用 OneNote 規範的官方文檔來理解所有字節及其結構。下圖顯示了來自 OneNote 規範文檔的頭信息。
電子郵件 – 社會工程學
與大多數惡意軟件作者一樣,攻擊者通常使用電子郵件作爲與受害者的第一聯系方式。他們使用社會工程技術說服受害者打開程序并在他們的工作站上執行代碼。
在最近的網絡釣魚嘗試中,攻擊者發送了一封看似來自可靠來源的電子郵件,并要求收件人下載 OneNote 附件。但是,打開附件後,代碼并未按預期自動更新。相反,受害者會收到一個潛在危險的提示。
在這種情況下,與許多 OneNote 附件一樣,惡意行爲者打算讓用戶單擊文檔中顯示的 " 打開 " 按鈕,從而執行代碼。傳統的安全工具無法有效檢測此類威脅。
一種可用于分析 Microsoft Office 文檔(包括 OneNote 附件)的工具是 Oletools。該套件包括命令行可執行文件 olevba,它有助于檢測和分析惡意代碼。
嘗試在 OneNote 附件上執行該工具時,發生錯誤。因此,分析的重點轉向動态方法。通過将文檔放在沙箱中,我們發現了一系列腳本,這些腳本被執行以下載和運行可執行文件或 DLL 文件,從而導緻更嚴重的感染,如勒索軟件、竊取程序和文件擦除器。
戰術和技術
這個特定的活動使用編碼的 JScript 數據來隐藏他們的代碼,利用 Windows 工具 screnc.exe。雖然采用編碼形式,但 Open.jse 文件不可讀。解碼 JScript 文件後,發現了一個 .bat 文件的釋放器。執行時,.bat 文件會啓動一個 PowerShell 實例,該實例會聯系 IP 地址 198 [ . ] 44 [ . ] 140 [ . ] 32。
利用 OneNote 可以安裝什麽惡意軟件?
OneNote 文件被攻擊者以各種不同的方法使用。因此,涉及許多不同類型的惡意軟件,包括勒索軟件、特洛伊木馬和信息竊取程序。
勒索軟件
勒索軟件專爲勒索目的而設計。一旦安裝,系統上的所有文件都會被加密,如果沒有需要從攻擊者那裏購買的解密密鑰,就無法訪問。
遠程訪問木馬
遠程訪問木馬 ( RAT ) 是一種允許攻擊者遠程控制設備的惡意軟件。安裝後,攻擊者可以向機器發出命令并安裝其他類型的惡意軟件。
信息竊取者
信息竊取程序是一種用于竊取私人數據的木馬。信息竊取程序通常用于竊取登錄憑據,例如密碼以及财務信息。一旦在您的計算機上安裝了信息竊取程序,黑客就可以訪問您的私人帳戶。
如何防範惡意 OneNote 文件
幸運的是,針對惡意 OneNote 文件的攻擊并不難防禦。他們依賴于人們的粗心大意,因此您可以通過采取一些基本的安全預防措施來保護自己。
不要下載電子郵件附件
惡意 OneNote 文件隻有在下載後才會執行。除非您确定知道發件人是誰,否則切勿下載電子郵件附件。
備份文件
盡量備份所有重要文件并将備份保存在單獨的位置,即不使用外接存儲設備插入您的計算機(因爲勒索軟件也會對其進行加密),則勒索軟件的威脅較小。值得注意的是,以這種方式防禦勒索軟件并不能阻止黑客訪問數據并威脅要發布數據。
使用雙因素身份驗證
遠程訪問木馬可用于竊取密碼。爲了防止這種情況,您應該爲所有帳戶添加雙因素身份驗證。雙因素身份驗證可防止任何人登錄您的帳戶,除非他們還提供第二條信息,例如發送到您設備的代碼。激活後,您的密碼可能會被盜,小偷仍然無法訪問您的帳戶。
使用殺毒軟件
如果您有防病毒套件,許多類型的勒索軟件和遠程訪問木馬将被阻止運行。但是,不應将防病毒軟件作爲唯一的防線,因爲許多惡意 OneNote 文件專門設計用于繞過它。
企業應提供員工培訓
所有企業都應就此威脅對員工進行教育。員工需要知道網絡釣魚電子郵件的樣子,并且不應允許他們下載附件。
OneNote 文件是黑客的理想選擇
OneNote 文件是傳播惡意軟件的理想選擇。它們是能夠在大多數人的計算機上運行的可信文件。它們也與惡意軟件無關,因此許多企業沒有能力抵禦它們。
任何執行惡意 OneNote 文件的人都可能對其數據進行加密或竊取其個人信息。前者需要支付贖金,而後者可能導緻賬戶被盜和财務欺詐。
企業和個人都應該意識到這種威脅,并可以通過遵循基本的安全措施來防範它。
結論
爲了有效應對不斷變化的威脅形勢,對安全分析師來說,必須及時了解惡意軟件作者使用的最新攻擊策略。如果系統沒有适當配置以防止此類附件繞過适當的清理和檢查,這些方法可以規避檢測。因此,分析師必須熟悉分析這些附件的技術。目前,建議進行動态分析,因爲将樣本放在沙箱中可以提供有關惡意軟件的關鍵信息,包括它連接到的 C2 服務器、進程鏈信息以及數據寫入磁盤然後執行的位置。爲了進行更深入的分析,分析師還應該熟悉通常與 OneNote 附件關聯和嵌入其中的各種文件格式,
需要注意的是,隻有當接收方使用附件時 ( 特别是通過單擊嵌入的文件并忽略 OneNote 顯示的警告消息 ) ,攻擊才會成功。然而,最好的防禦永遠是預防。因此,安全團隊必須更新他們的系統以檢測這些類型的附件,并教育員工下載未知和不受信任的附件的危險。
